【正文】 ps auwx|grep syslogd root 5896 896 508 ?? Ss 9:44PM 0: syslogd s p /chroot/bind/var/run/log ps auwx|grep named bind 5941 1652 1444 ?? Is 9:52PM 0: /chroot/bind/usr/sbin/named u bind g bind t /chroot/bind netstat an|grep 53 tcp4 0 0 *.* LISTEN tcp4 0 0 *.* LISTEN udp4 0 0 *.* udp4 0 0 *.* 步驟七：修改系統(tǒng)啟動(dòng)腳本 　　對(duì)于FreeBSD系統(tǒng)，在/etc/： syslogd_enable=YES 如果希望禁止向外發(fā)送日志，將s換成ss。 syslogd_flags=s p /chroot/bind/var/run/log named_enable=YES named_program=/chroot/bind/usr/sbin/named named_flags=u bind g bind t /chroot/bind 　　注：如果在其它系統(tǒng)平臺(tái)，如OpenBSD、Linux、Solaris，則可能會(huì)稍有不同。 主要是不同平臺(tái)上的syslog實(shí)現(xiàn)不盡相同。例如對(duì)于OpenBSD和Linux系統(tǒng)，打開(kāi)日 志別名socket的命令是syslogd a /chroot/bind/var/run/log，而Solaris的 syslogd守護(hù)進(jìn)程則不支持別名。因此Solaris系統(tǒng)平臺(tái)上的chroot需要通過(guò)另外的方法實(shí)現(xiàn)。4 Windows 2000MS DNS安全配置(MSDNS)MSDNS可以根據(jù)幾種特殊的需求實(shí)施。依據(jù)物理網(wǎng)絡(luò)位置和想要的管理方法，有4種常見(jiàn)的實(shí)施方式（注意不推薦在企業(yè)外部環(huán)境實(shí)施MSDNS，尤其是在有活動(dòng)目錄時(shí)）：應(yīng)用文本區(qū)域文件的內(nèi)部解析和活動(dòng)目錄集成的內(nèi)部解析和活動(dòng)目錄集成的外部解析應(yīng)用文本區(qū)域文件的外部解析。根據(jù)基礎(chǔ)體系的需要，直接安裝所需的服務(wù)。安裝文本區(qū)域文件，要在最初的DNS服務(wù)器向?qū)е羞x擇“標(biāo)準(zhǔn)主要區(qū)域”。如圖41。圖41 Windows 2000 DNS 服務(wù)器安裝安裝基于文本文件的DNS服務(wù)，修改幾個(gè)選項(xiàng)，包括日志、根服務(wù)器和區(qū)域傳輸，可以增強(qiáng)系統(tǒng)，防止大多數(shù)的惡意篡改。 開(kāi)啟日志功能因?yàn)槊總€(gè)網(wǎng)絡(luò)的基礎(chǔ)體系結(jié)構(gòu)都不同，如何選擇合適的日志水平取決于系統(tǒng)管理員，如圖42。對(duì)不常見(jiàn)的DNS行為進(jìn)行記錄，例如Write Through, Notify, TCP或Full Packets，會(huì)使日志審計(jì)的執(zhí)行時(shí)間間隔更加符合實(shí)際。而常見(jiàn)的DNS行為，例如UDP，Update和Query，應(yīng)該只在調(diào)試DNS服務(wù)器時(shí)，或者在服務(wù)器的流量非常少時(shí)才予以記錄。圖42 DNS日志 定期更新根服務(wù)器信息根服務(wù)器經(jīng)常會(huì)發(fā)生變化，例如，：。DNS系統(tǒng)管理員應(yīng)該跟蹤最新的變化（ ），盡快更新根服務(wù)器的IP。如圖43。圖43 更新根服務(wù)器信息 禁止區(qū)域文件動(dòng)態(tài)更新完成了最初的服務(wù)配置后，應(yīng)該單獨(dú)查看每個(gè)區(qū)域文件。每個(gè)區(qū)域的優(yōu)先級(jí)應(yīng)該重新考慮，并進(jìn)行相應(yīng)的修改。區(qū)域文件可以動(dòng)態(tài)更新。這個(gè)選項(xiàng)默認(rèn)是禁用的，通常不應(yīng)該被更改。如圖44。圖44 禁用區(qū)域文件動(dòng)態(tài)更新對(duì)于內(nèi)部DNS解析，常見(jiàn)的部署是集成DHCP服務(wù)器和活動(dòng)目錄。和活動(dòng)目錄的集成非常穩(wěn)健。在實(shí)施之前，應(yīng)該全面徹底地檢驗(yàn)活動(dòng)目錄的安全性。如果需要運(yùn)行外部的解析服務(wù)器，推薦使用文本區(qū)域文件。文本區(qū)域文件位于%SystemRoot%\DNS。除了SYSTEM組外，DNS文件夾應(yīng)該配置成拒絕所有訪問(wèn)。除了修改目錄權(quán)限，還要隱藏區(qū)域文件位置。 對(duì)HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS這個(gè)注冊(cè)表鍵進(jìn)行修改，只允許ADMINISTRATOR和SYSTEM組具有完全控制權(quán)。 禁止區(qū)域傳輸要限制一個(gè)域的區(qū)域傳輸，右擊域，選擇Properties，然后單擊Zone Transfer標(biāo)簽，如圖45。要禁用某個(gè)域的區(qū)域傳輸，需要清除Allow zone transfer復(fù)選框。圖45 禁用區(qū)域傳輸 其它設(shè)置在Windows 環(huán)境下，應(yīng)該特別重視對(duì)一些設(shè)置進(jìn)行校驗(yàn)。手動(dòng)驗(yàn)證區(qū)域文本文件。許多區(qū)域記錄也許和Windows DNS兼容，但并不和其它守護(hù)進(jìn)程兼容。Responsible Person應(yīng)該包含@符號(hào)，因?yàn)樗推渌麯NS服務(wù)不兼容。如圖46。圖46 Responsible person區(qū)域語(yǔ)法Windows 2000 DNS服務(wù)可以通過(guò)在控制面板中啟動(dòng)DNS服務(wù)，并配置成在重啟時(shí)自動(dòng)啟動(dòng)。增加區(qū)域記錄可以通過(guò)右擊Global DNS圖標(biāo)，然后選擇Add Domain來(lái)完成。5 安全檢查列表根據(jù)檢查列表反復(fù)對(duì)細(xì)節(jié)進(jìn)行檢查，可能會(huì)發(fā)現(xiàn)遺漏的配置。安全檢查DJBDNS安全配置列表的一個(gè)實(shí)例是RFC2870：Root Name Server Operational Requirements ()，它是所有根服務(wù)器在投入使用前都必須滿足的要求。以下是一張所有守護(hù)進(jìn)程和操作系統(tǒng)的通用列表。 建立穩(wěn)定的硬件環(huán)境確保系統(tǒng)運(yùn)行的目的只有一個(gè)；驗(yàn)證系統(tǒng)有滿足要求的處理器和RAM；討論使用冗余數(shù)據(jù)存儲(chǔ)的必要性；分配一個(gè)應(yīng)急備份系統(tǒng)；制定數(shù)據(jù)備份和磁帶輪換時(shí)間表；確保穩(wěn)定的網(wǎng)絡(luò)連接和必要的結(jié)構(gòu)冗余。 加固操作系統(tǒng)驗(yàn)證所有最新的操作系統(tǒng)補(bǔ)丁已安裝；刪除或關(guān)閉所有不必要的系統(tǒng)服務(wù)；只允許必要的用戶訪問(wèn)系統(tǒng)；記錄訪問(wèn)系統(tǒng)的用戶；根據(jù)項(xiàng)目需求增加日志容量；啟用網(wǎng)絡(luò)時(shí)間協(xié)議（NTP）服務(wù)器；實(shí)施適當(dāng)?shù)?~3層網(wǎng)絡(luò)安全計(jì)劃；只通過(guò)加密的帶外（OOB）管理端口，維護(hù)系統(tǒng)通信。安全安裝守護(hù)進(jìn)程校驗(yàn)后臺(tái)軟件的MD5校驗(yàn)和加固應(yīng)用程序環(huán)境；盡可能實(shí)行chroot環(huán)境；確保守護(hù)進(jìn)程賬戶不能登錄訪問(wèn)；確保有服務(wù)失敗通知程序；驗(yàn)證所有最新的守護(hù)進(jìn)程補(bǔ)丁已經(jīng)安裝，并且補(bǔ)丁的MD5校驗(yàn)和正確；訂閱新聞組/郵件列表，獲得升級(jí)程序或漏洞風(fēng)險(xiǎn)的通知。配置DNS守護(hù)進(jìn)程確保已經(jīng)刪除所有的多余的特性；實(shí)施守護(hù)進(jìn)程ACL；限制或關(guān)閉區(qū)域傳輸；如果需要區(qū)域傳輸，確保它們通過(guò)加密協(xié)議運(yùn)行；修改守護(hù)進(jìn)程的版本響應(yīng)；確保記錄中使用的電子郵件聯(lián)系信息有效。日志確?？梢怨芾砣罩镜拇笮?；檢驗(yàn)日志錯(cuò)誤處理程序；定期監(jiān)控日志，保留查詢失敗記錄。監(jiān)控?cái)?shù)據(jù)維護(hù)一個(gè)監(jiān)控?cái)?shù)據(jù)基線統(tǒng)計(jì)；判斷和了解將來(lái)的需求；檢查為未來(lái)增長(zhǎng)分配的預(yù)算。