Solaris 10下DNS服务器安全攻略

　　寻找

　　instance name='default' enabled='false'

　　改为

　　instance name='chroot' enabled='false'　

　　寻找

　　exec='/usr/sbin/named'

　　改为

　　exec='/usr/sbin/named -t /chroot/dns'

　　寻找

　　privileges='basic,!proc_session,!proc_info,!file_link_any,net_privaddr,file_dac_read,file_dac_search,sys_resource' />

　　改为

　　privileges='basic,!proc_session,!proc_info,!file_link_any,net_privaddr,priv_proc_chroot,priv_file_dac_read,file_dac_search,sys_resource' />

　　寻找

　　user='root'

　　改为

　　user='noaccess'

　　保存文件退出。

　　停止原来的 DNS服务

　　# svcadm disable dns/server:default

　　加入新的 DNS Server Chroot service

　　# svccfg import server-chroot.xml

　　启动 chroot DNS service

　　# svcadm enable dns/server:chroot

　　# svcs dns/server

　　STATE STIME FMRI

　　disabled 6:21:03 svc:/network/dns/server:default

　　online 6:27:01 svc:/network/dns/server:chroot

　　Bind 9 DNS Server 现在已经能够在“监牢” 环境中运行

　　三、在Solaris环境下，DNS客户端程序的配置非常容易，它只需要几个简单的步骤就可以完成。

　　(1)除了对/etc/inet/hosts文件或NIS/NIS+的主机名映射或者主机名(hostnames)表文件进行检查以外，还必须配置命名服务开关文件(/etc/nsswitch.conf)，指定域名解析服务向DNS进行查询。为了确保DNS的正常工作，在/etc/nsswitch.conf文件中必须包括下行的内容：

　　hosts: files dns

　　这行的意思是如果需要命名服务，首先查找/etc/inet/hosts文件，如果找不到，就到DNS中去查找。

　　(2)我们需要将主机的本地域名输入到/etc/defaultdomain文件中。例如，主机www.cjh.net的/etc/defaultdomain文件应有如下的输入项：

　　cjh.net

　　(3)我们需要在/etc/resolv.conf文件中包含本地域名、本地基本DNS服务器的IP地址，以及辅助的DNS服务器的IP地址。这意味着本地DNS服务器出现故障，我们仍可以通过辅助的NDS服务器来提供最新的外部主机信息，而不必依赖/etc/hosts文件中的数据来解析本地地址。例如，/etc/resolv.conf文件的内容可能是这样：

　　domain cjh.net

　　nameserver 202.104.0.20

　　nameserver 53.58.31.2

　　它表明本地域是cjh.net，本地域有两台基本DNS服务器。其中，202.104.0.20为主DNS服务器，53.58.31.2为辅助DNS服务器。

　　(4)下面我们可以启动DNS客户端软件了。

　　#svcadm enable svc:/network/dns/client

　　(5)使用nslookup命令来检查DNS客户端配置是否正确。

　　#nslookup

　　> www. cjh.net