2011年(2)
分类: LINUX
2011-11-03 11:29:47
内容提要
访问控制列表(ACL)就是一个被命名的地址匹配列表。使用访问控制列表可以使配置简单而清晰,一次定义之后可以在多处使用,不会使配置文件因为大量的 IP 地址而变得混乱。
要定义访问控制列表,可以在 BIND 的主配置文件 /etc/bind/named.conf 中使用 acl 语句来实现。acl 语句的语法为:
acl acl_name { address_match_list; };BIND 里默认预定义了 4 个名称的地址匹配列表,他们可以直接使用,分别为:
之前添加如下的配置行
include "/etc/bind/named.conf.acls";定义了 ACL 之后,可以在如下的子句中使用
| 子句 | 语句 | 说明 |
|---|---|---|
| allow-query | options,zone | 指定哪主机或网络可以查询本服务器或区,默认的是允许所有主机进行查询。 |
| allow-transfer | options,zone | 指定哪些主机允许和本地服务器进行域传输,默认值是允许和所有主机进行域传输。 |
| allow-recursion | options | 指定哪些主机可以进行递归查询。如果没有设定,缺省是允许所有主机进行递归查询的。注意禁止一台主机的递归查询,并不能阻止这台主机查询已经存在于服务器缓存中的数据。 |
| allow-update | zone | 指定哪些主机允许为主域名服务器提交动态 DNS 更新。默认为拒绝任何主机进行更新。 |
| blackhole | options | 指定不接收来自哪些主机的查询请求和地址解析。默认值是 none 。 |
假如要限制只有 202.0.0.0/8 和 221.0.0.0/8 查询本地服务器的所有区信息,可以在 options 语句里使用如下的 allow-query 子句
options { ...... allow-query { 202.0.0.0/8; 221.0.0.0/8; }; ...... };上面的配置没有使用 ACL,若使用 acl,需要以下的配置步骤:
S1 在 /etc/bind/named.conf.acls 中添加如下的 acl 语句,对允许查询的主机列表命名
acl aqlist { 202.0.0.0/8; 221.0.0.0/8; };S2 在 /etc/bind/named.conf.options 中使用定义的 acl_name 限制允许查询的主机列表
options { ...... allow-query { aqlist; }; ...... };假如要限制只有 221.3.131.5 和 221.3.131.6 可以从本地服务器传输 “example.com” 的区信息,可以在 zone 语句里使用如下的 allow-transfer 子句
zone "example.com" { type master; file "example.com.hosts"; allow-transfer { 221.3.131.5; 221.3.131.6; }; };上面的配置没有使用 ACL,若使用 acl,需要以下的配置步骤:
S1 在 /etc/bind/named.conf.acls 中添加如下的 acl 语句,对允许查询的主机列表命名
acl atlist { 221.3.131.5; 221.3.131.6; };S2 在 /etc/bind/named.conf.local 中使用定义的 acl_name 限制允许进行域传输的主机列表
zone "example.com" { type master; file "example.com.hosts"; allow-transfer { atlist; }; };为了防止欺骗和拒绝服务攻击,对于 Internet 上的每个 DNS 服务器至少应该有一个假地址的 ACL 和一个本地地址的 ACL。为此,需要执行如下的步骤
S1 在 /etc/bind/named.conf.acls 中添加如下的 acl 语句
// 创建一个名称为 "bogusnets" 的 ACL 来阻止经常用于欺骗性攻击的(RFC1918)地址空间 acl bogusnets { 0.0.0.0/8; 1.0.0.0/8; 2.0.0.0/8; 169.254.0.0/16; 192.0.2.0/24; 224.0.0.0/3; 10.0.0.0/8; 172.16.0.0/12; 192.168.0.0/16; }; //创建一个名称为 "our-nets" 的 ACL,并将其配置为实际本网的 IP 地址段。 acl our-nets { //用您的网络地址替换下面的地址列表 x.x.x.x/24; x.x.x.x/21; };S2 在 /etc/bind/named.conf.options 中使用定义的 acl_name 限制查询和响应
options { ...... allow-query { our-nets; }; allow-recursion { our-nets; }; blackhole { bogusnets; }; ...... };许多站点希望 DNS 对于内网访问和外网(Internet)访问看起来不一样,这种类型的配置称为“分离 DNS (Split DNS)”。
这种配置可以用于如下的情况:
在 BIND 9 中可以使用 view 语句进行配置分离 DNS 。 view 语句的语法为
view view_name { match-clients { address_match_list }; [ view_option; ...] zone_statement; ... };其中:
下面是一个使用 view 语句的例子,它摘自 BIND9 的文档。
view "internal" { match-clients { our-nets; }; // 匹配内网客户的访问 recursion yes; // 对内网客户允许执行递归查询 zone "example.com" { // 定义内网客户可见的区声明 type master; file "example.com.hosts.internal"; }; }; view "external" { match-clients { any; }; // 匹配 Internet 客户的访问 recursion no; // 对 Internet 客户不允许执行递归查询 zone "example.com" { // 定义 Internet 客户可见的区声明 type master; file "example.com.hosts.external"; }; };接下来,需要在 example.com.hosts.internal 中创建内网客户可见的区文件,并在 example.com.hosts.external 中创建 Internet 客户可见的区文件。可以根据您的实际情况编写这两个文件,此处从略。
在默认情况下,BIND9 把日志消息写到 /var/log/messages 文件中,而这些日志消息是非常少的,主要就是启动,关闭的日志记录和一些严重错误的消息;而将调试日志信息写入 BIND 服务器工作目录中的 named.run 文件。
BIND 9 的日志是可以灵活配置的,要详细记录服务器的运行状况,要在配置文件 named.conf 中使用 logging 语句来定制自己所需要的日志记录。
在讲述 logging 语句的语法之前,先要熟悉一些常用术语
| 术语 | 含义 |
|---|---|
| channel(通道) | 日志输出方式,如:syslog、文本文件、标准错误输出或 /dev/null |
| category(类别) | 日志的消息类别,如:查询消息或动态更新消息等 |
| module(模块) | 产生消息的来源模块名称 |
| facility(设备) | syslog 设备名 |
| severity(严重性) | 消息的严重性等级 |
logging 语句的语法为:
logging { channel channel_name { // 定义通道 file log_file [versions number | unlimited] [size sizespec]; | syslog optional_facility; | null; | stderr; // 定义输出方式 severity log_severity; // 定义消息严重性 [print-time boolean;] // 是否在消息中添加时间前缀,仅用于 file 日志 [print-severity boolean;] // 是否在消息中添加消息严重性前缀 [print-category boolean;] // 是否在消息中添加消息类别名前缀 }; category category_name { // 定义类别 channel_name; ...... }; };配置日志时,首先要定义通道,然后将不同的日志类别的数据指派到指定的通道上输出。
BIND 9 的默认配置是:
logging { // 由于使用了默认通道,所以没有通道定义部分 category "default" { "default_syslog"; "default_debug"; }; };channel 语句用于定义通道。
BIND 9 预制了如下四个默认通道;
channel "default_syslog" { syslog daemon; // 发送给 syslog 的 daemon 设备 severity info; // 只发送此 info 及其更高优先级的信息 }; channel "default_debug" { // 只有当服务器的 debug 级别非 0 时,才产生输出。 file "named.run"; // 写入工作目录下的 named.run 文件 severity dynamic; // 按照服务器当前的debug 级别记录日志 }; channel "default_stderr" { stderr; // 写到stderr severity info; // 只发送此 info 及其更高优先级的信息 }; channel "null" { null; // 丢弃所有发到此通道的信息 };category 语句是指定哪一种类别的信息使用哪个或者哪几个已经定义了的通道输出。
BIND 9 中可用的类别名(category_name)有:
| 类别 | 说明 |
|---|---|
| client | 处理客户端请求。 |
| config | 配置文件分析和处理。 |
| database | 同BIND内部数据库相关的消息,用来存储区数据和缓存记录。 |
| default | 匹配所有未明确指定通道的类别。 |
| dnssec | 处理 DNSSEC 签名的响应。 |
| general | 包括所有未明确分类的 BIND 消息。 |
| lame-servers | 发现错误授权,即残缺服务器。 |
| network | 网络操作。 |
| notify | 区更新通知消息。 |
| queries | 查询日志 |
| resolver | 名字解析,包括对来自解析器的递归查询信息。 |
| security | 批准/非批准的请求。 |
| update | 动态更新事件。 |
| xfer-in | 从远程名字服务器到本地名字服务器的区传送。 |
| xfer-out | 从本地名字服务器到远程名字服务器的区传送。 |
例如要记录查询消息,可以在 named.conf 中添加如下配置:
logging { channel query_log { file "query.log" versions 3 size 20m; severity info; print-time yes; print-category yes; }; category queries { query_log; }; };这样服务器会在工作目录(directory 语句所指定的目录,Ubuntu 为:/var/cache/bind)下创建 query.log 文件,并把运行过程产生的 queries 消息写如到此文件中。
基于安全的考虑,应该在 chroot jail 环境下运行 BIND 9 。下面讲述将 BIND 9 运行在 /chroot/named jail 环境中的配置步骤。
使用如下命令修改 /etc/default/bind9
sudo vi /etc/default/bind9将如下的行
OPTIONS="-u bind"改为
OPTIONS="-u bind -t /chroot/named"使用如下命令修改 /etc/init.d/sysklogd
sudo vi /etc/init.d/sysklogd将如下的行
SYSLOGD="-u syslog"改为
SYSLOGD="-u syslog -a /chroot/named/dev/log"