Linux系統(tǒng):安全的DNS服務(wù)器配置_第1頁
Linux系統(tǒng):安全的DNS服務(wù)器配置_第2頁
Linux系統(tǒng):安全的DNS服務(wù)器配置_第3頁
Linux系統(tǒng):安全的DNS服務(wù)器配置_第4頁
Linux系統(tǒng):安全的DNS服務(wù)器配置_第5頁
已閱讀5頁,還剩7頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、Linux系統(tǒng)下常用網(wǎng)絡(luò)服務(wù)的安全配置Linux系統(tǒng)目前在網(wǎng)絡(luò)服務(wù)應(yīng)用平臺(tái)占有舉足輕重的地位,是Windows所無法比擬的。服務(wù)器為了提高穩(wěn)定性和運(yùn)行效率,通常是不安裝和運(yùn)行X Window圖形界面,而是采用文本命令行的方式進(jìn)行安裝和配置, 并在文本模式運(yùn)行網(wǎng)絡(luò)應(yīng)用服務(wù)。 本項(xiàng)目主要實(shí)現(xiàn)校園網(wǎng) 內(nèi)部網(wǎng)絡(luò)服務(wù)器的安全管理問題。一、項(xiàng)目簡介在校園網(wǎng)本部(如圖2所示)中心機(jī)房內(nèi)假定有數(shù)臺(tái)服務(wù)器,服務(wù)器安裝的操作系統(tǒng)均為Linux,配置的常用服務(wù)有 DHCP DNS郵件服務(wù)、Web、FTP Samba、NFS等。本項(xiàng)目 需要在服務(wù)器上設(shè)置安全的服務(wù),以保證網(wǎng)絡(luò)服務(wù)器的安全,并測試網(wǎng)絡(luò)服務(wù)的安全性。二、

2、實(shí)訓(xùn)環(huán)境1、硬件環(huán)境數(shù)臺(tái)(服務(wù)器的數(shù)目根據(jù)要求來定)服務(wù)器和數(shù)臺(tái)測試客戶機(jī)。2、軟件環(huán)境Linux系統(tǒng)使用 CentOS5.6,客戶機(jī)使用 Windows XP、Windows 7或者Linux系統(tǒng)。安全的DNS服務(wù)器配置安全管理需求DNS服務(wù)是當(dāng)前網(wǎng)絡(luò)中非常重要的服務(wù),它實(shí)現(xiàn)了IP地址與域名的轉(zhuǎn)換,使得人們能通過簡單好記的域名來代替IP地址訪問網(wǎng)絡(luò)。因此高效管理及使用DNS服務(wù)器是網(wǎng)絡(luò)管理員的一個(gè)非常重要的問題。任務(wù)描述配置DNS服務(wù)器并利用 DNS提供的chroot機(jī)制實(shí)現(xiàn)安全的 DNS服務(wù)。使用輔助域名服 務(wù)器實(shí)現(xiàn)冗余備份,與 DHCP服務(wù)器配合實(shí)現(xiàn) DDNS功能。拓?fù)鋱D如下所示(圖 2

3、-5 )。LAN2: /24LAN1: /24FQDN: IP:DNS: GATEWAY:54FQDN: IP:DNS: GATEWAY:54因特網(wǎng)圖2-5網(wǎng)絡(luò)實(shí)現(xiàn)DNS與DHCP拓?fù)鋱D圖2-5中,LAN1中配置了一臺(tái)DHCP服務(wù)器和一臺(tái)DNS服務(wù)器,LAN2中一臺(tái)輔助DNS 服務(wù)器并啟動(dòng) DHCP中繼代理。要求如下:1、LAN1和LAN2內(nèi)客戶端自動(dòng)獲取IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)及 DNS后綴()。

4、LAN1 可用地址為 000 和 2050,LAN2 可 用 IP地址為 050。2、 網(wǎng)絡(luò)的主 DNS服務(wù)器為,為了提高網(wǎng)段 /24DNS客戶端的 解析速度需要中建立一個(gè)輔助區(qū)域。3、 網(wǎng)絡(luò)需要向內(nèi)網(wǎng)及外網(wǎng)客戶端提供 web服務(wù)、郵件服務(wù)的名稱解析,內(nèi)網(wǎng)用戶訪問 及 被 DNS解析為 ,外網(wǎng)用戶訪問 及 被 DNS解析為 0。4、 由于客戶端數(shù)量眾多所以需要

5、使用DDNS,減輕DNS的維護(hù)工作量。5、 內(nèi)網(wǎng)用戶可以通過本地的DNS服務(wù)解析到公網(wǎng)的FQDN。步驟提示1、在主機(jī)和上安裝DHCP服務(wù)。(注:主機(jī)名的修改需要在 /etc/sysconfig/network 和 /etc/hosts 中進(jìn)行)2、 在主機(jī)和上安裝 DNS組件。CentOS5.6提供的組件如下:bi nd-libs-9.3.6-16.P1.el5bin d-9.3.6-16.P1.el5bi nd-chroot-9.3.6-16.P1.el5bi nd-utils-9.3.6-16.P1.el5caching-nameserver-9.3.6-16.P1.el5.x86_64.

6、rpm (非必需的,BIND 配置例子,如果對(duì) BIND 比較熟悉,可以不安裝該組件。)3、開啟路由器的路由功能,使用如下命令完成。echo 1 /proc/sys/net/ipv4/ip_forward4、 為了更好地顯示編輯的當(dāng)前目錄信息(提示符信息),可以修改PS1變量的選項(xiàng),通 過修改文件 /etc/bashrc,將里面的 $PS1 = s-v$ & PS1=uh W$ 下的大寫 的W改成小寫的w(表示完整顯示目錄信息)。重新進(jìn)入系統(tǒng)即可顯示當(dāng)前完整的編輯目錄。 類似于如下圖(圖 2-6)所示:rootlocalhost # cd /var/n amed/chroot/rootloca

7、lhost /var/n amed/chroot#圖2-6完整顯示當(dāng)前編輯目錄示意圖5、在主機(jī)上創(chuàng)建 DDNS密鑰,通過cat查看并記下生成的密鑰。注:TSIG( Tran saction Sig nature,事務(wù)簽名)使用加密驗(yàn)證DNS信息。TSIG是以加密算法的方式,認(rèn)證 DNS服務(wù)器之間的數(shù)據(jù)傳輸。首先必須在主要區(qū)域所在服務(wù)器上生成加密 證書,之后將此證書傳遞給輔助區(qū)域所在服務(wù)器,經(jīng)過配置后由輔助區(qū)域所在服務(wù)器以加密方式送往主要區(qū)域所在服務(wù)器的區(qū)域傳輸請(qǐng)求。同時(shí)提供加密的DDNS TSIG功能確認(rèn)DNS之信息是由某特定 DNS服務(wù)器提供,并且大多數(shù)應(yīng)用于DNS之間區(qū)域傳輸,確保輔助區(qū)域

8、從主要區(qū)域復(fù)制得到的數(shù)據(jù)不會(huì)由其他假的DNS服務(wù)器提供或被篡改截取。使用命令dnssec-keygen可以產(chǎn)生加密密鑰(該命令的詳細(xì)內(nèi)容可參見其幫助文檔)。女口圖2-7所示。rootd ns # cd /var/n amed/chroot/rootdns /var/named/chroot#dnssec-keygen -a HMAC-MD5 -b 128 -n USERxxxdnsKxxxd ns.+157+33084圖2-7為DDNS創(chuàng)建密鑰示意圖6、 在主機(jī)上創(chuàng)建TSIG密鑰,用于主機(jī)區(qū)域 DNS傳送,通過cat查看并記下 生成的密鑰。如圖2-8所示。rootd ns # cd /var/

9、n amed/chroot/rootdns /var/named/chroot#dnssec-keygen -a HMAC-MD5 -b 128 -n HOST rndc-keyKrndc-key.+157+60882圖2-8為主機(jī)客戶端創(chuàng)建密鑰示意圖7、在 上使用 /usr/share/doc/dhcp-3.0.5/dhcpd.conf.sample 覆蓋/etc/dhcp/dhcpd.conf,并修改其內(nèi)容。如圖2-9所示。ddn s-update-style in terim;ignore clie nt-updates;opti on doma in-n amexxx. net;key

10、 xxxd ns algorithm hmac-md5;secret O4gltWAab+aWoBjm9C7Fqw=;zone xxx.n et. primary ;key xxxd ns;zone 10.168.192.i . primary ;key xxxd ns;zone 20.168.192.. primary ;key xxxd ns;shared-network xxx sub net netmask opti

11、on routers54;optio n sub net-mask;option domai n-n ame-servers,;option time-offset-18000;range dyn amic-bootp 0 00;range dyn amic-bootp 20 50;default-lease-time 21600; max-lease-time 43200;sub net 192.16

12、8.20.0 netmask option routers54;optio n sub net-mask;option domai n-n ame-servers,;option time-offset-18000;range dyn amic-bootp 0 50; default-lease-time 21600;max-lease-time 43200;圖2-9 dhcpd配置文件設(shè)置示意圖8、在上配置 BIND全局

13、配置文件。(1) 復(fù)制全局配置文件模板,使用命令:#cp -p /var/n amedchroot/etc/ named.cach ing-n ameserver.c onf n amed.c onf(2) 修改 named.conf 文件,內(nèi)容如圖 2-10 所示。/var/named/chroot/etc/var/ named/chroot/var/ named/opti ons liste n-on port 53 any; ;listen-on-v6 port 53 :1; ;directory/var/ named;dump-file/var/ named/data/cache_du

14、mp.db;statistics-file /var/ n amed/data/named_stats.txt; memstatistics-file /var/ n amed/data/named_mem_stats.txt; query-sourceport 53;query-source-v6 port 53;allow-query any; ;#8 is ISPs DNS Server.forwarders 8; ;forward first;key xxxtra nsfer algorithm hmac-md5;secret 4iWdK

15、DIHv5l08l5Wp9LMLA=;server keys xxxtra nsfer; ;key xxxdns algorithm hmac-md5;secret O4gltWAab+aWoBjm9C7Fqw=;loggi ng cha nnel default_debug file data/named.ru n;severity dyn amic;view xxx_LAN_resolver match-clie nts /16; ;match-desti natio ns any; ;recurs ion yes;in clude /et

16、c/ namedan .z on es;view xxx_WAN_resolver match-clie nts any; ;match-desti natio ns any; ;recurs ion yes;in clude /etc/ named wa n.z on es;圖2-10 named.conf文件配置示意圖9、在上配置 BIND主配置文件(1)復(fù)制主配置文件模板。cp /var/n amed/chroot/etc/ named.rfc1912.z ones n amed_la n.zones cp /var/n amed/chroot/etc/ named.rfc1912.z

17、ones n amed_wa n.zones(2)修改添加 named_lan.zones文件,內(nèi)容如圖 2-11所示。zone xxx. net IN type master;file xxx. net.la n.zero; allow-update key xxxdn s; ; allow-tra nsfer key xxxtra nsfer; ;zone 10.168.192. IN type master;file 10.168.192.local; allow-update key xxxdn s; ; allow-tra nsfer key xxxtra n

18、sfer; ;zone 20.168.192. IN type master;file 20.168.192.local; allow-update key xxxdn s; ;allow-tra nsfer key xxxtra nsfer; ;圖2-11主配置文件示意圖(1)(3)修改添加named_wan.zones文件,內(nèi)容如圖 2-12所示。zone xxx. net IN type master;file xxx. net.wa n.zero; allow-update non e; ;圖2-12主配置文件示意圖(2)10、在上配置 BIND區(qū)域文件。(1)

19、復(fù)制正向解析及反向解析文件模板,命令如下所示。cp /var/n amed/chroot/var/ named/named.zero xxx.n et.la n. zero cp /var/n amed/chroot/var/ named/named.zero xxx.n et.wa n. zero cp /var/n amed/chroot/var/ named/named .lo cal 10.168.192 .localcp /var/n amed/chroot/var/ named/named .lo cal 20.168.192 .local(2)修改文件 .lan.zero,如圖

20、2-13 所示。$TTL86400IN SOAdn s.xxx .n et.INNSdn s.xxx .n et.INMX 10dn s.xxx .n et.dnsINAwwwINCNAMEdn s.xxx .n et.mailINCNAMEdn s.xxx .n et.42;serial (d. a(3H;refresh15M;retry1W;expiry1D );mi nimumroot.xxx .n et.(圖2-13正向區(qū)域文件配置(1)(3) 修改文件 .wan.zero,如圖 2-14 所示。$TTL86400IN SOAdn s.xxx .n et.INN

21、Sdn s.xxx .n et.INMX 10dn s.xxx .n et.dnsINA0wwwINCNAMEdn s.xxx .n et.mailINCNAMEdn s.xxx .n et.root.xxx .n et.(42; serial (d. adams)3H; refresh15M; retry1W; expiry1D ); mi nimum圖2-14正向區(qū)域文件配置(2)(4) 修改文件 10.168.192.local,如圖 2-15 所示。$TTL86400INSOAdn s.xxx .n et. root.xxx .n et.(1997022700 ;

22、 Serial 28800;Refresh14400;Retry3600000;Expire86400 ); Mi nimumINNSdn s.xxx .n et.4INPTRdn s.xxx .n et.圖2-15反向區(qū)域文件配置(1)(5) 修改文件 20.168.192.local,如圖 2-16 所示。$TTL 86400INSOAdn s.xxx .n et. root.xxx .n et.(1997022700 ; Serial 28800;Refresh14400;Retry3600000;Expire86400 ); Mi nimumINNSdn s.xxx .n et.圖2-

23、16反向區(qū)域文件配置(2)11、 在 上修改 /var/named/chroot/var/named系統(tǒng)權(quán)限。命令如下: chow n -R n amed: named /var/n amed/chroot/var/ named/12、在 上啟動(dòng) DHCP DNS 服務(wù)。13、在 上修改 /etc/sysconfig/dhcrelay 文件,內(nèi)容如下。 INTERFACES=eth0DHCPSERVERS= ”14、在上配置 BIND全局配置文件。(1)復(fù)制全局配置文件模板。cp /var/n amed/chroot/etc/ named.cachi ng-n amese

24、rver.c onf n amed.c onf2)修改named.conf文件,如圖2-17所示。opti ons liste n-on port 53 any; ;listen-on-v6 port 53 :1; ;directory/var/ named;dump-file/var/ named/data/cache_dump.db;statistics-file /var/ n amed/data/named_stats.txt; memstatistics-file /var/ n amed/data/named_mem_stats.txt; query-sourceport 53;q

25、uery-source-v6 port 53; allow-query any; ;loggi ng cha nnel default_debug file data/named.ru n;severity dyn amic;key xxxtra nsfer algorithm hmac-md5;secret 4iWdKDIHv5l08l5Wp9LMLA=;圖2-17全局配置文件示意圖server keys xxxtra nsfer; ;;view xxx_LAN_resolver match-clie nts /16; ;match-dest

26、i natio ns any; ; recurs ion yes;in clude /etc/ namedan .z on es;圖2-17全局配置文件示意圖(續(xù))15、在上配置 BIND主配置文件。(1)復(fù)制主配置文件模板,命令如下:cp /var/n amed/chroot/etc/ named.rfc1912.z ones n amed_la n.zones(2) 修改namedan.zones文件,內(nèi)容如圖2-18所示。zone xxx. net IN type slave;masters ; ; file slaves/xxx. net.la n.zero;z

27、one 10.168.192. IN type slave;masters ; ; file slaves/10.168.192.local;zone 20.168.192. IN type slave;masters ; ;file slaves/20.168.192.local;圖2-18 dns1的主配置文件示意圖16、 修改 上 named 的權(quán)限。/var/named/chroot/var/named/17、 在上啟動(dòng)DHCP中繼代理、DNS服務(wù),命令如下:service dhcrelay

28、 startservice n amed start18、測試為了實(shí)現(xiàn)路由器的功能,可用一臺(tái)主機(jī)(設(shè)置雙網(wǎng)卡,Linux和Windows均可以)充當(dāng)路由器。(1)DHCP測試圖2-19是DHCP中繼代理測試效果圖。C;riWI0TSyrlvM:2Xvad.H廿印左*. 電*i Pr Lnwrp bna SufF x .Hods TyifW 鼻i IP Roiiting EnuAblsrlIhF1 H Pl-OMy jdiMih Led .-._._DMUli Lis t . Ttlbrrnt nrinplr 本地連扶*Cu n ritict lu n m c If ic IMS Suff lx eacrlptioft *七* BFh忖址話 Ad.dM-S-6 i Dhcp Enabled. ftutncenf ieniirflit ia n Ennh led IP Addref.Subaiu HuLuh - InFnul

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論