Solaris 10下DNS服务器安全攻略

　(18)测试DNS反向解析是否成功。

　　# host 192.168.9.9

　　9.9.168.192.in-addr.arpa domain name pointer dns.cjh.com.

　　(19)测试DNS解析是否成功。

　　# nslookup

　　> www.cjh.com

　　Server: 192.168.9.9

　　Address: 192.168.9.9#53

　　Name: www.cjh.com

　　Address: 192.168.9.9

　　>

　　出现上面的提示，说明DNS服务已经启动成功。

　　应用说明：

　　Solaris 10 基本上就已经安装好 Bind 9 DNS Server，所以，跟本就不存在安装的问题。但为什么还要写这编文章呢?在某程度上跟和 Solaris 10 的新功能 Service Management Facility (SMF)有关，而且，这编文章也有助于对 SMF的深入了解。

　　Solaris 10 以前版本的DNS服务器启动和停止方法是：

　　启动 DNS Server 命令：

　　/etc/init.d/named start

　　停止 DNS Server命令：

　　/etc/init.d/named

　　Solaris 10版本的DNS服务器启动和停止方法是：

　　启动 DNS Server 命令：

　　svcadm enable dns/server 或 svcadm enable dns/server:default

　　停止 DNS Server命令：

　　stop svcadm disable dns/server 或 svcadm disable dns/server:default

　　二、让DNS 服务器在“牢监”中运行

　　所谓“监牢”就是指通过chroot机制来更改某个软件运行时所能看到的根目录，即将某软件运行限制在指定目录中，保证该软件只能对该目录及其子目录的文件有所动作，从而保证整个服务器的安全。这样即使出现被破坏或被侵入，所受的损伤也较小。将软件chroot化的一个问题是该软件运行时需要的所有程序、配置文件和库文件都必须事先安装到chroot目录中，通常称这个目录为chroot jail(chroot“监牢”)。如果要在“监牢”中运行dns，而事实上根本看不到文件系统中那个真正的目录。因此需要事先创建目录，并将dns文件复制到其中。图-1中的例子，说明了 牢监 中的环境状态

　　

　　图 1 “监牢”环境示意图

　　以下是具体步骤：

　　为 DNS Server 建立监牢目录

　　建立 /chroot/dns 目录

　　# mkdir /chroot/dns

　　建立一个空壳目录架构

　　# cd /chroot/dns

　　# mkdir -p etc/named var/run

　　复制 /etc/named.conf 到监牢中

　　# cp /etc/named.conf /chroot/dns/etc/named.conf

　　复制 /etc/named 目录中的文件到 Jail 监牢中

　　# cp /etc/named/* /chroot/dns/etc/named/

　　更改 /chroot/dns/var/run 目录的权限

　　# chmod 770 /chroot/dns/var/run

　　# chown noaccess:root /chroot/dns/var/run

　　为 Solaris 10 建立一个新服务

　　原本的 DNS Server Service 名称为 dns/server。

　　建立新服务 后，以后要启动旧版本的 DNS服务时，不能只启动 dns/server，而要改为 dns/server:default。

　　新 DNS Server Chroot 服务 名称为， dns/server:chroot

　　开始建立新 服务

　　# cd /var/svc/manifest/network/dns

　　# cp server.xml server-chroot.xml

　　编辑 server-chroot.xml