Linux系統(tǒng)：安全的DNS服務(wù)器配置

1、Linux系統(tǒng)下常用網(wǎng)絡(luò)服務(wù)的安全配置Linux系統(tǒng)目前在網(wǎng)絡(luò)服務(wù)應(yīng)用平臺占有舉足輕重的地位，是Windows所無法比擬的。服務(wù)器為了提高穩(wěn)定性和運行效率，通常是不安裝和運行X Window圖形界面，而是采用文本命令行的方式進行安裝和配置，并在文本模式運行網(wǎng)絡(luò)應(yīng)用服務(wù)。本項目主要實現(xiàn)校園網(wǎng)內(nèi)部網(wǎng) 絡(luò)服務(wù)器的安全管理問題。 項目簡介在校園網(wǎng)本部（如圖2所示）中心機房內(nèi)假定有數(shù)臺服務(wù)器，服務(wù)器安裝的操作系統(tǒng)均為Linux,配置的常用服務(wù)有DHCP DNS郵件服務(wù)、Web、FTP Samba、NFS等。本項目需要在服 務(wù)器上設(shè)置安全的服務(wù)，以保證網(wǎng)絡(luò)服務(wù)器的安全，并測試網(wǎng)絡(luò)服務(wù)的安全性。二、實訓(xùn)環(huán)境

2、1、硬件環(huán)境數(shù)臺（服務(wù)器的數(shù)目根據(jù)要求來定）服務(wù)器和數(shù)臺測試客戶機。2、軟件環(huán)境Linux系統(tǒng)使用CentOS5.6,客戶機使用 Windows XP、Windows 7或者Linux系統(tǒng)。安全的DNS服務(wù)器配置安全管理需求DNS服務(wù)是當前網(wǎng)絡(luò)中非常重要的服務(wù)，它實現(xiàn)了IP地址與域名的轉(zhuǎn)換，使得人們能通過簡單好記的域名來代替IP地址訪問網(wǎng)絡(luò)。因此高效管理及使用DNS服務(wù)器是網(wǎng)絡(luò)管理員的一個非常重要的問題。任務(wù)描述配置DNS服務(wù)器并利用DNS提供的chroot機制實現(xiàn)安全的DNS服務(wù)。使用輔助域名服務(wù)器 實現(xiàn)冗余備份，與DHCP服務(wù)器配合實現(xiàn)DDNS功能。拓撲圖如下所示（圖2-5 ）。LAN1

3、： /24FQDN： IP:DNS: GATEWAYS 54圖2-5網(wǎng)絡(luò)實現(xiàn)DNS與DHCP拓撲圖圖2-5中，LAN1中配置了一臺DHCP服務(wù)器和一臺DNS服務(wù)器，LAN2中一臺輔助DNS服務(wù) 器并啟動DHCP中繼代理。要求如下：1、LAN1和LAN2內(nèi)客戶端自動獲取IP地址、子網(wǎng)掩碼、默認網(wǎng)關(guān)及DNS后綴（ ）。 LAN1 可用地址為 000 和 20-50，LAN2 可 用 IP 地址為 192.168

4、.20.20-50。2、網(wǎng)絡(luò)的主DNS服務(wù)器為，為了提高網(wǎng)段/24DNS客戶端的 解析 速度需要中建立一個輔助區(qū)域。3、網(wǎng)絡(luò)需要向內(nèi)網(wǎng)及外網(wǎng)客戶端提供web服務(wù)、郵件服務(wù)的名稱解析，內(nèi)網(wǎng)用戶訪問 及 被 DNS 解析為 ，夕卜網(wǎng)用戶訪問 及 被 DNS 解析為 0。4、由于客戶端數(shù)量眾多所以需要使用DDNS,減輕DNS的維護工作量。5、內(nèi)網(wǎng)用戶可以通過本地的DNS服務(wù)解析到公網(wǎng)的FQDNo步驟提示1 '在主機和上安裝DHCP服務(wù)。（注：主機名的修改需要在 /etc/sy

5、sconfig/network /etc/hosts 中進行）2、在主機和dns1 上安裝DNS組件。CentOS5.6提供的組件如下：bi nd-libs-9.3.6-16.P1.el5bind-9.3.6-16.P1.el5bi nd-chroot-9.3.6-16.P1 .el5bi nd-utils-9.3.6-16.P1.el5caching-nameserver-9.3.6-16.P1 .el5.x86_64.rpm （非必需的，BIND 配置例子，如果對 BIND 比較熟悉，可以不安裝該組件。）3、開啟路由器的路由功能，使用如下命令完成。echo 1 > /p roc/sy

6、 s/n et/i p v4/i p_f o rward4、為了更好地顯示編輯的當前目錄信息（提示符信息），可以修改PS1變量的選項，通過修改文件 /etc/bashrc，將里面的 ”$PS1" = "s-v$ ” && PS1="uh W$ n 下的大寫 的 W 改成 小寫的w（表示完整顯示目錄信息）。重新進入系統(tǒng)即可顯示當前完整的編輯目錄。類似于如下圖 （圖2-6）所示：rootlocalhost # cd /var/n amed/chroot/rootlocalhost /var/n amed/chroot#圖2-6完整顯示當前編輯目錄示意圖

7、5、在主機上創(chuàng)建DDNS密鑰，通過cat查看并記下生成的密鑰。注：TSIG （ Tran saction Sig nature，事務(wù)簽名）使用加密驗證 DNS信息。TSIG是以加密算 法的方式，認證DNS服務(wù)器之間的數(shù)據(jù)傳輸。首先必須在主要區(qū)域所在服務(wù)器上生成加密證書，之 后將此證書傳遞給輔助區(qū)域所在服務(wù)器，經(jīng)過配置后由輔助區(qū)域所在服務(wù)器以加密方式送往主要區(qū)域所在服務(wù)器的區(qū)域傳輸請求。同時提供加密的DDNS TSIG功能確認DNS之信息是由某特定DNS服務(wù)器提供，并且大多數(shù)應(yīng)用于DNS之間區(qū)域傳輸，確保輔助區(qū)域從主要區(qū)域復(fù)制得到的數(shù)據(jù)不會由其他假的DNS服務(wù)器提供或被篡改截取。使用命令dnss

8、eckeygen可以產(chǎn)生加密密鑰（該命令的詳細內(nèi)容可參見其幫助文檔）。女圖2-7所不。rootd ns # cd /var/n amed/chroot/rootdns /var/named/chroot# dnssec-keygen -a HMAC-MD5 -b 128 -n USER xxxdnsKxxxd ns.+157+33084圖2-7為DDNS創(chuàng)建密鑰示意圖6、在主機上創(chuàng)建TSIG密鑰，用于主機區(qū)域DNS傳送，通過cat查看并記下 生成 的密鑰。如圖28所示。rootd ns # cd /var/n amed/chroot/rootdns /var/named/chroot#dnss

9、ec-keygen -a HMAC-MD5 -b 128 -n HOST rndc-key Krndc-key.+157+60882圖2-8為主機客戶端創(chuàng)建密鑰示意圖7、在 上使用 /usr/share/doc/dhcp-3.0.5/dhcpd.conf.sample 覆蓋/etc/dhcp/dhcpd.conf，并修改其內(nèi)容。如圖 29所示。ddn s-update-style in terim;ignore die nt-updates;opti on doma in-n ame "xxx. net”；key xxxd ns algorithm hmac-md5;secret O

10、4gltWAab+aWoBjm9c7Fqw=;圖2.9 dhcpd配置文件設(shè)置示意圖8、在上配置BIND全局配置文件。(1)復(fù)制全局配置文件模板，使用命令：#cp -p /var/n amedchroot/etc/ named.each ing-n ameserver.c onf n amed.c onf(2) 修改 named.conf 文件，內(nèi)容如圖 2-10 所示。/var/named/chroot/etc/ /var/ named/chroot/var/ named/opti ons liste n-on port 53 any;Iisten-on-v6 port 53 :1;dire

11、ctoryH/var/ namedn;dump-fileH/var/ named/data/cache_dump.dbn;statistics-file n/var/ n amed/data/named_stats.txt'f; memstatistics-file H/var/ n amed/data/named_mem_stats.txtn; query-source port 53;query-source-v6 port 53;allow-query any;#8 is ISP's DNS Server.forwarders 202.103.24

12、.68;forward first;);key xxxtra nsfer algorithm hmac-md5;secret 4iWdKDIHv5IO8l5Wp9LMLA=;)；server keys xxxtra nsfer;key xxxdns algorithm hmac-md5;secret O4gltWAab+aWoBjm9C7Fqw=;)；loggi ng cha nnel default_debug file Hdata/named.ru n,f;severity dyn amic;view xxx_LAN_resolver match-clie nts

13、 /16;match-desti natio ns any;recurs ion yes;in elude '7etc/ named an .z on es,f;view xxx WAN resolver match-clie nts any;match-desti natio ns any;recurs ion yes;in elude '7etc/ named wa n.z on es,f;圖2-10 named.conf文件配置示意圖9、在上配置BIND主配置文件(1)復(fù)制主配置文件模板。cp /var/n amed/chroot/etc/ nam

14、ed.rfc1912.z ones n amedja n.zones cp /var/n amed/chroot/etc/ named.rfc1912.z ones n amed_wa n.zones(2)修改添加named_lan.zones文件，內(nèi)容如圖2-11所示。zone Mxxx. net'* IN type master;file “xxx. net.la n.zeron; allow-update key xxxdn s; allow-tra nsfer key xxxtra nsfer;);zone M10.168.192.n IN type m

15、aster;file "10.168.192.local" allow-update key xxxdn s; allow-tra nsfer key xxxtra nsfer;)；zone ”20.168.192.” IN type master;file "20.168.192.local" allow-update key xxxdn s;allow-tra nsfer key xxxtra nsfer;)；圖2-11主配置文件示意圖(1)(3)修改添加named_wan.zones文件，內(nèi)容如圖2-12所示。zone &q

16、uot;xxx. net'* IN type master;file "xxx. net.wan.zero" allow-update none;)；圖2-12主配置文件示意圖(2)10、在上配置BIND區(qū)域文件。(1)復(fù)制正向解析及反向解析文件模板，命令如下所示。cp /var/n amed/chroot/var/ named/named.zero xxx.n et.la n. zero cp /var/n amed/chroot/var/ named/named.zero xxx.n et.wa n. zero cp /var/n amed/chroot/var

17、/ named/named Jo cal 10.168.192 .localcp /var/n amed/chroot/var/ named/named Jo cal 20.168.192 .local(2)修改文件 .lan.zero , 如圖 2-13 所示。$TTL 86400IN SOA dn s.xxx .net.dn s.xxx .nINNSet.INMX 10dn s.xxx .n 一 XdnsINAWWWINCNAMEdn s.xxx .nmailINCNAMEdn s.xxx .nroot.xxx .n423H15M1W1D);serial (d.;r

18、efresh;retry ;expiry;mi圖2-13正向區(qū)域文件配置(1)(3)修改文件 .wan.zero , 如圖 2-14 所示。$TTL 86400IN SOA dn s.xxx .net.root.xxx .n et.423H15M1W1D);serial (d. adams);refresh;retry;expiry;mi nimumdn s.xxx .nINNSet.INMX 10dn s.xxx .ndnsINA0WWWINCNAMEdn s.xxx .n 4,mailINCNAMEdn s.xxx .n圖2-14正向區(qū)域文件配置(2)(4)修改文件

19、10.168.192.local，如圖 2-15 所示。$TTL86400(INSOAdn s.xxx .n et. root.xxx .n et.1997022700;Serial 28800 ; Refresh14400;Retry3600000;Expire86400 );Mi nimumINNSdn s.xxx .n et.4INPTRdn s.xxx .n et.圖2-15反向區(qū)域文件配置(1)(5)修改文件 20.168.192.local，如圖 2-16 所示。$TTL 86400IN SOA dn s.xxx .n et. root.xxx .n et.(1997022700;

20、 Serial28800;Refresh14400;Retry3600000;Expire86400 ); MiIN NS dn s.xxx .n et.圖216反向區(qū)域文件配置(2)11 ' 在 上修改 /var/named/chroot/var/named 系統(tǒng)權(quán)限。命令如下：chow n -R n amed: named /var/n amed/chroot/var/ named/12 ' 在 上啟動 DHCP DNS 月艮務(wù)。13 ' 在 上修改 /etc/sysconfig/dhcrelay 文件，內(nèi)容如下。INTERFACES=ethODHCPSERVERS

21、= ”14 > 在上配置BIND全局配置文件。(1)復(fù)制全局配置文件模板。cp /var/n amed/chroot/etc/ named.cachi ng-n ameserver.c onf n amed.c onf圖217全局配置文件示意圖2 )修改named.conf文件,如圖2-17所示。server keys xxxtra nsfer;view xxx_LAN_resolver match-clie nts /16;match-desti natio ns any; recurs ion yes;in el

22、ude "/etc/ namedan .z on esM;圖2-17全局配置文件示意圖（續(xù)）15 '在上配置BIND主配置文件。（1）復(fù)制主配置文件模板，命令如下：cp /var/n amed/chroot/etc/ named.rfc1912.z ones n amedja n.zones（2）修改namedan.zones文件，內(nèi)容如圖2-18所示。zone *'xxx. net" IN type slave;masters ; file "slaves/xxx. net.la n.zero',;）；zone *

23、'10.168.192." IN type slave;masters ; file "slaves/10.168.192.local"）；zone *'20.168.192." IN type slave;masters ;file ”slaves/20.168.192.local”；）；圖2-18 dns1的主配置文件示意圖16、修改 dns1 上 named 的權(quán)限。/var/named/chroot/var/named/17、在上啟動D

24、HCP中繼代理、DNS服務(wù)，命令如下：service dherelay startservice n amed start18、測試為了實現(xiàn)路由器的功能，可用一臺主機（設(shè)置雙網(wǎng)卡， Linux和Windows均可以）充當 路由器。（1） DHCP 測試圖219是DHCP中繼代理測試效果圖。C;riWI>OTS«yrlvM： 2Xvad.H ：也 i«Pr Lnwrp bna SufF £x ， Hods TyifW I « IP Roiiting EnuAblsrl .rz TfiHI-fr J/IGTGJkl.M 注 ldtxArirVi盹1 &

25、#163;申.IHF1 HtPl-OMyjdiMih Led.DMUli Lis t. n«t nrinplAr 彳Cu n ritict lu n m« c If ic IMS Suff lx ©eacrlptioft *Fh 付址 Ad.dM-S-6A i « « » DhcpEnabled.ftutncenf ieniirflit ia nEnAnh led IP AddrefA.SubaiuA HuLuhlAnFnultGntewiy . « . 9 DHCP Se-fuer- . DHS £erwei*±r «<,ObtnineA LHdiEff EMpir*E4dP。沖打?qū)彿介T上乳幾口 “ k； GtXinigA，,rle3pt>(2) DNS測試1 pt .net :Accc:se-9C-2?-73-2Z-0flYesVcs14ii.lt6H.2H . IMaSE.aE6.3SE»B1¥2 £B 28A54i i9£.l«B.Mi.5152.168.18,4:2