谁来帮我看一下BIND9的问题

kinux

原帖由 "红袖添香" 发表：
   

这个是 djbdns 带的吧？

   

4Ah 4Ah!!!          

內部的dns为什么不用djbdns, 安全, 简单, 易用...     

红袖添香

原帖由 "kinux" 发表：
   

4Ah 4Ah!!!          

內部的dns为什么不用djbdns, 安全, 简单, 易用...     

   

内部的DNS为什么一定要用djbdns，
对外又没开25号端口.  

而且，偶这个DNS是chroot了的...
它最多访问到 /var/named 下的东东
其它地方它去不了...  

kinux

原帖由 "红袖添香" 发表：
   

内部的DNS为什么一定要用djbdns，
对外又没开25号端口.  

而且，偶这个DNS是chroot了的...
它最多访问到 /var/named 下的东东
其它地方它去不了...  

   

chroot 只是保住你的机, 不能防止被人ddos你的dns...

红袖添香

原帖由 "kinux" 发表：
   

chroot 只是保住你的机, 不能防止被人ddos你的dns...

   

djbdns 就能挡住 ddos 了？    

dylix

对外不开DNS，如何DOS？

红袖添香

原帖由 "wanbin" 发表：
   



chroot DNS有资料吗？偶也想建一个安全的DNS

   



OpenBSD下它自动就是chroot了的，我没有做什么特殊设定。

不过chroot 没什么特别难的，看一下 man 就知道了，
关键是要注意，因为它只能访问自己目录/var/named以下的东东了，
其它目录访问不了了，所以你要用到的文件都要放在这个目录中，

比如日志就不能在放到 /var/logs/ 目录中了，这样守护进程就无法写了，
做一个符号连接也不行，

ln -s /var/log/dns.log  /var/named/log/dns.log

也是没用的，

但是反过来，是可以的

ln -s /var/named/log/dns.log /var/log/dns.log

你可以在系统日志目录中统一看到DNS日志


另外，如果你是 freebsd，还可以用 jail,

参考：

http://www.cymru.com/Documents/bindjail-freebsd.html
http://www.dublan.net/Notes/BIND_Jail.txt
http://www.linuxsecurity.com/docs/LDP/Chroot-BIND-HOWTO-2.html

红袖添香

[quote]原帖由 "dylix"]对外不开DNS，如何DOS？[/quote 发表：
   

kinux 的意思是，如果开了的话...

dylix

问题是前面你已说过，对外不开DNS端口了呀

红袖添香

[quote]原帖由 "dylix"]问题是前面你已说过，对外不开DNS端口了呀[/quote 发表：
   

嗯，对的。。。

所以 kinux 作的假设——如果需要开放的话...
不过这个假设，如果不是针对象咱这老百姓，
还是有点实际意义的，