【正文】 起的安全問題的有效方法。在這樣的環(huán)境中運行BIND，能夠增加DNS系統(tǒng)的安全性。 BIND安全配置 、配置環(huán)境： FreeBSD ；BIND 。該選項可在配置文件的options中使用recursion選項覆蓋。這用于丟棄啟動時所需要的root特權(quán)。 、配置文件中的安全選項Solais、FreeBSD、Linux等系統(tǒng)，Bind的配置文件為：/etc/、 安全日志文件操作方法：假如希望記錄安全事件到文件中，但同時還希望保持原有的日志模式，可以添加以下內(nèi)容： logging { channel my_security_channel { file versions 3 size 20m。 }。 default_syslog。 }。 ，保存三個最近的備份 （、）， 日志文件的最大容量為20MB，（如果達(dá)到或超這一數(shù)值，直到該文件被再次打開前，將不再記錄任何日志消息。） l 操作結(jié)果：日志記錄完整，所有異常問題都會在日志文件記錄。 version Who knows?。 操作結(jié)果：　　此時如果通過DNS服務(wù)查詢BIND版本號時，返回的信息就是Who knows?，隱藏了真實的版本號。 fetchglue no。 、 增加出站查詢請求的ID值的隨機性操作方法在options節(jié)中增加： useidpool yes。注意這將會 使服務(wù)器多占用超過128KB內(nèi)存。注意這將會 使服務(wù)器多占用超過128KB內(nèi)存，缺省值為no。 address_match_list是允許進(jìn)行域名查詢的主機IP列表，如。操作結(jié)果限制對DNS服務(wù)器進(jìn)行域名查詢的主機。 address_match_list是允許進(jìn)行域名遞歸查詢的主機IP列表，如 。 l 操作結(jié)果限制了對DNS進(jìn)行域名遞歸查詢的主機。 address_match_list是允許向本DNS服務(wù)器提交動態(tài)DNS更新的主機IP列表，如 。 l 缺省時為拒絕所有主機的提交。 、 限制對DNS服務(wù)器進(jìn)行區(qū)域記錄傳輸?shù)闹鳈C操作方法在options（或特定的zone區(qū)域）節(jié)中增加：allowtransfer { address_match_list }。 。 、 指定不接受哪些服務(wù)器的區(qū)域記錄傳輸請求操作方法在options（或特定的zone區(qū)域）節(jié)中增加： blackhole { address_match_list }。 。、 一些資源限制選項l 操作方法不同用戶可根據(jù)實際情況靈活設(shè)置，但一定要注意不當(dāng)?shù)脑O(shè)置會損失DNS服務(wù)的性能。 // core dump的最大值。 datasize size_spec 。缺省為 default。 // 服務(wù)器能同時打開的最大文件數(shù)。 // （注意，并非所有操作系統(tǒng)都支持這一選項。 // （目前版本暫不使用。 stacksize size_spec 。缺省為 default。、 定義ACL地址名操作方法即用于上面的address_match_list。 }。 。 BIND已內(nèi)置以下四個ACL： all // 允許所有主機 none // 禁止所有主機 localhost // 本機的所有網(wǎng)絡(luò)接口 localnets // 本機所在網(wǎng)絡(luò) 操作結(jié)果此操作不會對系統(tǒng)產(chǎn)生不良影響。 }。 ] }。如果使用第一種(inet)，則在指定IP（接口）和端口上監(jiān)聽，但只允許在allow中限定允許與其連接的IP地址列表。 l 操作結(jié)果上述操作建議在正確配置時不會對系統(tǒng)造成不良影響，但建議謹(jǐn)慎使用。 首先確保BIND域名服務(wù)器軟件已更新到最新版本。它要求在主域名服務(wù)器和輔助域名服務(wù)器上配置好加密密鑰，并通知服務(wù)器使用該密鑰與其它域名服務(wù)器通訊。） 、 用TSIG簽名來進(jìn)行安全的DNS數(shù)據(jù)庫手工更新如果需要用TSIG簽名來進(jìn)行安全的DNS數(shù)據(jù)庫手工更新，具體操作步驟很簡單：、 使用BIND自帶的dnskeygen工具生成TSIG密鑰。39。內(nèi)容如下：tsigkey. IN KEY 513 3 157 awwLOtRfpGE+rRKF2+DEiw== ；39。內(nèi)容如下：Privatekeyformat: Algorithm: 157 (HMAC) Key: awwLOtRfpGE+rRKF2+DEiw== 。 主域名服務(wù)器配置文件的相關(guān)內(nèi)容將它們放到本地域名服務(wù)器的配置文件中。 secret awwLOtRfpGE+rRKF2+DEiw==。 zone { ... ... allowupdate { key tsigkey. 。 } 重啟named守護(hù)進(jìn)程。最后運行如下命令即可： nsupdate k /var/named/tsig:tsigkey. 、 對區(qū)域記錄傳輸（自動或手工）進(jìn)行TSIG簽名如果需要對區(qū)域記錄傳輸（自動或手工）進(jìn)行TSIG簽名，則：、 用dnskeygen生成TSIG密鑰。 secret mZiMNOUYQPMNwsDzrX2ENw==。 // 定義輔助域名服務(wù)器的一些特性 server { transferformat manyanswers。 }。 // 區(qū)域記錄定義 zone { type master。 allowtransfer { 。 }。 secret mZiMNOUYQPMNwsDzrX2ENw==。 // 定義與主域名服務(wù)器通訊時的一些特性 server { transferformat manyanswers。 }。 // 區(qū)域記錄定義 zone { type slave。 masters { 。 allowtransfer { none。 }。 chroot基本上重定義了一個程序的運行環(huán)境。 也就是說，對于chroot了的程序或shell來說，chroot環(huán)境之外的目錄是不存在的。 n 防止使用者存取某些特定文件，如/etc/passwd。 n 提供Guest服務(wù)以及處罰破壞者。 BIND 8： BIND 9： 步