【正文】 ps auwx|grep syslogd root 5896 896 508 ?? Ss 9:44PM 0: syslogd s p /chroot/bind/var/run/log ps auwx|grep named bind 5941 1652 1444 ?? Is 9:52PM 0: /chroot/bind/usr/sbin/named u bind g bind t /chroot/bind netstat an|grep 53 tcp4 0 0 *.* LISTEN tcp4 0 0 *.* LISTEN udp4 0 0 *.* udp4 0 0 *.* 步驟七：修改系統(tǒng)啟動腳本 　　對于FreeBSD系統(tǒng)，在/etc/： syslogd_enable=YES 如果希望禁止向外發(fā)送日志，將s換成ss。 syslogd_flags=s p /chroot/bind/var/run/log named_enable=YES named_program=/chroot/bind/usr/sbin/named named_flags=u bind g bind t /chroot/bind 　　注：如果在其它系統(tǒng)平臺，如OpenBSD、Linux、Solaris，則可能會稍有不同。 主要是不同平臺上的syslog實現(xiàn)不盡相同。例如對于OpenBSD和Linux系統(tǒng)，打開日 志別名socket的命令是syslogd a /chroot/bind/var/run/log，而Solaris的 syslogd守護進程則不支持別名。因此Solaris系統(tǒng)平臺上的chroot需要通過另外的方法實現(xiàn)。4 Windows 2000MS DNS安全配置(MSDNS)MSDNS可以根據(jù)幾種特殊的需求實施。依據(jù)物理網(wǎng)絡(luò)位置和想要的管理方法，有4種常見的實施方式（注意不推薦在企業(yè)外部環(huán)境實施MSDNS，尤其是在有活動目錄時）：應(yīng)用文本區(qū)域文件的內(nèi)部解析和活動目錄集成的內(nèi)部解析和活動目錄集成的外部解析應(yīng)用文本區(qū)域文件的外部解析。根據(jù)基礎(chǔ)體系的需要，直接安裝所需的服務(wù)。安裝文本區(qū)域文件，要在最初的DNS服務(wù)器向?qū)е羞x擇“標(biāo)準(zhǔn)主要區(qū)域”。如圖41。圖41 Windows 2000 DNS 服務(wù)器安裝安裝基于文本文件的DNS服務(wù)，修改幾個選項，包括日志、根服務(wù)器和區(qū)域傳輸，可以增強系統(tǒng)，防止大多數(shù)的惡意篡改。 開啟日志功能因為每個網(wǎng)絡(luò)的基礎(chǔ)體系結(jié)構(gòu)都不同，如何選擇合適的日志水平取決于系統(tǒng)管理員，如圖42。對不常見的DNS行為進行記錄，例如Write Through, Notify, TCP或Full Packets，會使日志審計的執(zhí)行時間間隔更加符合實際。而常見的DNS行為，例如UDP，Update和Query，應(yīng)該只在調(diào)試DNS服務(wù)器時，或者在服務(wù)器的流量非常少時才予以記錄。圖42 DNS日志 定期更新根服務(wù)器信息根服務(wù)器經(jīng)常會發(fā)生變化，例如，：。DNS系統(tǒng)管理員應(yīng)該跟蹤最新的變化（ ），盡快更新根服務(wù)器的IP。如圖43。圖43 更新根服務(wù)器信息 禁止區(qū)域文件動態(tài)更新完成了最初的服務(wù)配置后，應(yīng)該單獨查看每個區(qū)域文件。每個區(qū)域的優(yōu)先級應(yīng)該重新考慮，并進行相應(yīng)的修改。區(qū)域文件可以動態(tài)更新。這個選項默認(rèn)是禁用的，通常不應(yīng)該被更改。如圖44。圖44 禁用區(qū)域文件動態(tài)更新對于內(nèi)部DNS解析，常見的部署是集成DHCP服務(wù)器和活動目錄。和活動目錄的集成非常穩(wěn)健。在實施之前，應(yīng)該全面徹底地檢驗活動目錄的安全性。如果需要運行外部的解析服務(wù)器，推薦使用文本區(qū)域文件。文本區(qū)域文件位于%SystemRoot%\DNS。除了SYSTEM組外，DNS文件夾應(yīng)該配置成拒絕所有訪問。除了修改目錄權(quán)限，還要隱藏區(qū)域文件位置。 對HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS這個注冊表鍵進行修改，只允許ADMINISTRATOR和SYSTEM組具有完全控制權(quán)。 禁止區(qū)域傳輸要限制一個域的區(qū)域傳輸，右擊域，選擇Properties，然后單擊Zone Transfer標(biāo)簽，如圖45。要禁用某個域的區(qū)域傳輸，需要清除Allow zone transfer復(fù)選框。圖45 禁用區(qū)域傳輸 其它設(shè)置在Windows 環(huán)境下，應(yīng)該特別重視對一些設(shè)置進行校驗。手動驗證區(qū)域文本文件。許多區(qū)域記錄也許和Windows DNS兼容，但并不和其它守護進程兼容。Responsible Person應(yīng)該包含@符號，因為它和其它DNS服務(wù)不兼容。如圖46。圖46 Responsible person區(qū)域語法Windows 2000 DNS服務(wù)可以通過在控制面板中啟動DNS服務(wù)，并配置成在重啟時自動啟動。增加區(qū)域記錄可以通過右擊Global DNS圖標(biāo)，然后選擇Add Domain來完成。5 安全檢查列表根據(jù)檢查列表反復(fù)對細(xì)節(jié)進行檢查，可能會發(fā)現(xiàn)遺漏的配置。安全檢查DJBDNS安全配置列表的一個實例是RFC2870：Root Name Server Operational Requirements ()，它是所有根服務(wù)器在投入使用前都必須滿足的要求。以下是一張所有守護進程和操作系統(tǒng)的通用列表。 建立穩(wěn)定的硬件環(huán)境確保系統(tǒng)運行的目的只有一個；驗證系統(tǒng)有滿足要求的處理器和RAM；討論使用冗余數(shù)據(jù)存儲的必要性；分配一個應(yīng)急備份系統(tǒng)；制定數(shù)據(jù)備份和磁帶輪換時間表；確保穩(wěn)定的網(wǎng)絡(luò)連接和必要的結(jié)構(gòu)冗余。 加固操作系統(tǒng)驗證所有最新的操作系統(tǒng)補丁已安裝；刪除或關(guān)閉所有不必要的系統(tǒng)服務(wù)；只允許必要的用戶訪問系統(tǒng)；記錄訪問系統(tǒng)的用戶；根據(jù)項目需求增加日志容量；啟用網(wǎng)絡(luò)時間協(xié)議（NTP）服務(wù)器；實施適當(dāng)?shù)?~3層網(wǎng)絡(luò)安全計劃；只通過加密的帶外（OOB）管理端口，維護系統(tǒng)通信。安全安裝守護進程校驗后臺軟件的MD5校驗和加固應(yīng)用程序環(huán)境；盡可能實行chroot環(huán)境；確保守護進程賬戶不能登錄訪問；確保有服務(wù)失敗通知程序；驗證所有最新的守護進程補丁已經(jīng)安裝，并且補丁的MD5校驗和正確；訂閱新聞組/郵件列表，獲得升級程序或漏洞風(fēng)險的通知。配置DNS守護進程確保已經(jīng)刪除所有的多余的特性；實施守護進程ACL；限制或關(guān)閉區(qū)域傳輸；如果需要區(qū)域傳輸，確保它們通過加密協(xié)議運行；修改守護進程的版本響應(yīng)；確保記錄中使用的電子郵件聯(lián)系信息有效。日志確保可以管理日志的大?。粰z驗日志錯誤處理程序；定期監(jiān)控日志，保留查詢失敗記錄。監(jiān)控數(shù)據(jù)維護一個監(jiān)控數(shù)據(jù)基線統(tǒng)計；判斷和了解將來的需求；檢查為未來增長分配的預(yù)算。