BIND8+ 域名服务器安全增强

4、检查syslogd/named守护进程、监听端口是否正常，和/var/log/messages文件 中named进程启动时是否正常。

 # ps auwx|grep syslogd

root     5896  0.0  1.7   896  508  ??  Ss    9:44PM   0:00.10 syslogd -s -p

/chroot/bind/var/run/log

# ps auwx|grep named

bind     5941  0.0  4.9  1652 1444  ??  Is    9:52PM   0:00.01

/chroot/bind/usr/sbin/named -u bind -g bind -t /chroot/bind

# netstat -an|grep 53

tcp4       0      0  127.0.0.1.53           *.*                    LISTEN

tcp4       0      0  192.168.8.19.53        *.*                    LISTEN

udp4       0      0  127.0.0.1.53           *.*

udp4       0      0  192.168.8.19.53        *.*

步骤七：修改系统启动脚本

对于FreeBSD系统，在/etc/rc.conf文件中增加如下内容即可：

syslogd_enable="YES"

# 如果希望禁止向外发送日志，将-s换成-ss。

syslogd_flags="-s -p /chroot/bind/var/run/log"

named_enable="YES"

named_program="/chroot/bind/usr/sbin/named"

named_flags="-u bind -g bind -t /chroot/bind"

注：如果在其它系统平台，如OpenBSD、Linux、Solaris，则可能会稍有不同。主要是不同平台上的syslog实现不尽相同。例如对于OpenBSD和Linux系统，打开日志别名socket的命令是"syslogd -a /chroot/bind/var/run/log"，而Solaris的syslogd守护进程则不支持别名。因此Solaris系统平台上的chroot需要通过另外的方法实现，关于具体的实现过程我会在另外的文章中说明。

七.    结束语

安全增强配置的文章写完了，但并不是说只要你按本文提到的方法和技术实施就能万无一失，高枕无忧了。其实以上设置对NXT和TSIG远程漏洞攻击并不没太多的防御作用，充其量只不过是要编写更多的shellcode代码来突破chroot环境的限制。即使用allow-query等极其严格地限制查询客户端（实际上在互联网上并不现实），基于UDP协议的TSIG攻击技术也只需构造伪造IP地址的数据包即可绕过其限制。

所以，在对BIND（还有其它应用服务）进行安全增强配置的基础上，安全管理员仍然需要密切关注最新的安全公告、安全补丁和安全技术，经常与专业的计算机安全专家交流知识和经验，再辅以必要的安全产品和安全服务，才能更充分地保护好自己的网络和计算机用户，抵御各种恶意攻击。