如何把Linux系統(tǒng)加入到域？1.配置DNS#vinameserver192.168.2.30nameserver192.168.2.32#vi#nslookup192.168.2.32DNS中搜索#

如何把Linux系統(tǒng)加入到域？

1.配置DNS#vinameserver192.168.2.30nameserver192.168.2.32#vi#nslookup192.168.2.32DNS中搜索#nettimeSET192.168.2.32時間同步，客戶端以服務(wù)器時間不一致是需要切實保障Linux系統(tǒng)中按裝了samba包，并用下述命令來檢查一下samba包的基礎(chǔ)庫接受，象的RPM安裝都肯定不會有問題。#smbd-b|grepLDAPHAVE_LDAP_HHAVE_LDAPHAVE_LDAP_DOMAIN2HOSTLIST..

.#smbd-b|grepKRBHAVE_KRB5_HHAVE_ADDRTYPE_IN_KRB5_ADDRESSHAVE_KRB5...#smbd-b|grepADSWITH_ADSWITH_ADS#smbd-b|grepWINBINDWITH_WINBINDWITH_WINBIND配置配置編輯，配置能夠完成后，執(zhí)行#kinitadministrator@配置編輯配置后，重新啟動samba服務(wù)#servicesambarestart#netadsjoin-Uadministrator@一并加入域，這時要再輸入域管理員密碼配置編輯器，更改后passwd和group為(files需視你linux系統(tǒng)配置NIS時間的長短，如配置NIS，則為compat)passwd:fileswinbindgroup:fileswinbind需要保存后（重）啟動時samba服務(wù)。（重）啟動winbind。用wbinfo-u檢索系統(tǒng)用戶，wbinfo-g檢索數(shù)據(jù)庫用戶組來測試winbind是否需要正常

dns防護怎么做？

1.授權(quán)DNS服務(wù)器取消名字服務(wù)器遞歸函數(shù)可以查詢功能，遞歸函數(shù)dns服務(wù)器要沒限制遞歸函數(shù)訪問的客戶（啟用白名單IP段）

2.限制修改區(qū)傳送zonetransfer，主從網(wǎng)絡(luò)同步的DNS服務(wù)器范圍重新設(shè)置白名單，是在列表內(nèi)的DNS服務(wù)器不不能網(wǎng)絡(luò)同步zone文件

allow-conversion{}

allow-setup{}

3.重設(shè)黑白名單

.設(shè)的攻擊IP一并加入bind的黑名單，或防火墻上可以設(shè)置不準進入不能訪問；

是從acl設(shè)置不能ftp連接的IP網(wǎng)段；

實際acl設(shè)置里允許ftp連接的IP網(wǎng)段；實際acl設(shè)置不允許不能訪問的IP網(wǎng)段；

4.隱藏BIND的版本信息；

5.使用非root權(quán)限運行BIND；

4.隱藏地BIND的版本信息；

5.使用非root權(quán)限運行BIND；

6.刪除掉DNS上不必要的其他服務(wù)。創(chuàng)建戰(zhàn)隊一個DNS服務(wù)器系統(tǒng)就沒有必要安裝好Web、POP、gopher、NNTP News等服務(wù)。

我建議你不完全安裝以上軟件包：

1）X-Windows及相關(guān)的軟件包；2）多媒體應(yīng)用軟件包；3）任何不必須的編譯程序和腳本解釋什么語言；4）任何用不著的文本編輯器；5）不需要的客戶程序；6）不不需要的其他網(wǎng)絡(luò)服務(wù)。以保證域名解析服務(wù)的獨立性，運行域名解析服務(wù)的服務(wù)器上不能不能而傳送其他端口的服務(wù)。很權(quán)威域名解析服務(wù)和遞歸函數(shù)域名解析服務(wù)必須在有所不同的服務(wù)器上相當于提供給；

7.建議使用dnstop監(jiān)控DNS流量

#yuminstalllibpcap-develncurses-devel

去下載源代碼

#；

9.可以提高DNS服務(wù)器的防范Dos/DDoS功能

在用SYNcookie

增強backlog,也可以當然程度加快大量SYN跪請導(dǎo)致TCP連接堵塞的狀況

延長retries次數(shù):Linux系統(tǒng)系統(tǒng)默認的tcp_synack_retries是5次

限制SYN頻率

應(yīng)對SYN Attack攻擊:#echo1gt/proc/sys/net/ipv4/tcp_retries把這個命令一并加入#34/etc/rc.d/rc.local#34文件中；

10.[防中間人攻擊(ManintheMiddle Attack)]：對域名服務(wù)協(xié)議有無正常了并且監(jiān)控，即憑借對應(yīng)的服務(wù)協(xié)議或需要或則的測試工具向服務(wù)端口發(fā)起演示各位，分析服務(wù)器趕往的結(jié)果，以推測當前服務(wù)是否正常嗎在內(nèi)內(nèi)存數(shù)據(jù)是否調(diào)整。在條件允許的情況下，在相同網(wǎng)絡(luò)內(nèi)部部署多個探測裝置點分布式監(jiān)控；

11.[防ddos攻擊]提供域名服務(wù)的服務(wù)器數(shù)量應(yīng)不低于2臺，建議您其它的名字服務(wù)器數(shù)量為5臺。但是個人建議將服務(wù)器防御部署在差別的物理網(wǎng)絡(luò)環(huán)境中在用入侵檢測系統(tǒng)，盡肯定的怎么檢測出中間人攻擊行為在域名服務(wù)系統(tǒng)周圍部署抗攻擊設(shè)備，如何應(yīng)付這類型的攻擊利用流量分析等工具檢測出DDoS攻擊行為，以便趕快采取應(yīng)急措施；

12.[防緩存窺視(Cache Snooping)]：限制二分查找服務(wù)的服務(wù)范圍，僅愿意某種特定網(wǎng)段的用戶在用遞歸算法服務(wù)；

13.[防緩存中毒(或DNS欺騙)(CachePoisoning內(nèi)個DNSSpoofing)]：對最重要域名的解析結(jié)果并且重點監(jiān)測，那樣一來發(fā)現(xiàn)自己推導(dǎo)數(shù)據(jù)有變化能趕快能提供告警提示作戰(zhàn)部署dnssec；

14.建立完善系統(tǒng)的數(shù)據(jù)備份機制和日志管理系統(tǒng)。應(yīng)保留哪個網(wǎng)站的3個月的全部解析日志，并且建議您對有用的域名信息系統(tǒng)根據(jù)不同情況7×24的魔獸維護機制保障，預(yù)警響應(yīng)出面時間不能不能遲于30分鐘。