如何把Linux系統加入到域？1.配置DNS#vinameserver192.168.2.30nameserver192.168.2.32#vi#nslookup192.168.2.32DNS中搜索#

如何把Linux系統加入到域？

1.配置DNS#vinameserver192.168.2.30nameserver192.168.2.32#vi#nslookup192.168.2.32DNS中搜索#nettimeSET192.168.2.32時間同步，客戶端以服務器時間不一致是需要切實保障Linux系統中按裝了samba包，并用下述命令來檢查一下samba包的基礎庫接受，象的RPM安裝都肯定不會有問題。#smbd-b|grepLDAPHAVE_LDAP_HHAVE_LDAPHAVE_LDAP_DOMAIN2HOSTLIST..

.#smbd-b|grepKRBHAVE_KRB5_HHAVE_ADDRTYPE_IN_KRB5_ADDRESSHAVE_KRB5...#smbd-b|grepADSWITH_ADSWITH_ADS#smbd-b|grepWINBINDWITH_WINBINDWITH_WINBIND配置配置編輯，配置能夠完成后，執(zhí)行#kinitadministrator@配置編輯配置后，重新啟動samba服務#servicesambarestart#netadsjoin-Uadministrator@一并加入域，這時要再輸入域管理員密碼配置編輯器，更改后passwd和group為(files需視你linux系統配置NIS時間的長短，如配置NIS，則為compat)passwd:fileswinbindgroup:fileswinbind需要保存后（重）啟動時samba服務。（重）啟動winbind。用wbinfo-u檢索系統用戶，wbinfo-g檢索數據庫用戶組來測試winbind是否需要正常

dns防護怎么做？

1.授權DNS服務器取消名字服務器遞歸函數可以查詢功能，遞歸函數dns服務器要沒限制遞歸函數訪問的客戶（啟用白名單IP段）

2.限制修改區(qū)傳送zonetransfer，主從網絡同步的DNS服務器范圍重新設置白名單，是在列表內的DNS服務器不不能網絡同步zone文件

allow-conversion{}

allow-setup{}

3.重設黑白名單

.設的攻擊IP一并加入bind的黑名單，或防火墻上可以設置不準進入不能訪問；

是從acl設置不能ftp連接的IP網段；

實際acl設置里允許ftp連接的IP網段；實際acl設置不允許不能訪問的IP網段；

4.隱藏BIND的版本信息；

5.使用非root權限運行BIND；

4.隱藏地BIND的版本信息；

5.使用非root權限運行BIND；

6.刪除掉DNS上不必要的其他服務。創(chuàng)建戰(zhàn)隊一個DNS服務器系統就沒有必要安裝好Web、POP、gopher、NNTP News等服務。

我建議你不完全安裝以上軟件包：

1）X-Windows及相關的軟件包；2）多媒體應用軟件包；3）任何不必須的編譯程序和腳本解釋什么語言；4）任何用不著的文本編輯器；5）不需要的客戶程序；6）不不需要的其他網絡服務。以保證域名解析服務的獨立性，運行域名解析服務的服務器上不能不能而傳送其他端口的服務。很權威域名解析服務和遞歸函數域名解析服務必須在有所不同的服務器上相當于提供給；

7.建議使用dnstop監(jiān)控DNS流量

#yuminstalllibpcap-develncurses-devel

去下載源代碼

#；

9.可以提高DNS服務器的防范Dos/DDoS功能

在用SYNcookie

增強backlog,也可以當然程度加快大量SYN跪請導致TCP連接堵塞的狀況

延長retries次數:Linux系統系統默認的tcp_synack_retries是5次

限制SYN頻率

應對SYN Attack攻擊:#echo1gt/proc/sys/net/ipv4/tcp_retries把這個命令一并加入#34/etc/rc.d/rc.local#34文件中；

10.[防中間人攻擊(ManintheMiddle Attack)]：對域名服務協議有無正常了并且監(jiān)控，即憑借對應的服務協議或需要或則的測試工具向服務端口發(fā)起演示各位，分析服務器趕往的結果，以推測當前服務是否正常嗎在內內存數據是否調整。在條件允許的情況下，在相同網絡內部部署多個探測裝置點分布式監(jiān)控；

11.[防ddos攻擊]提供域名服務的服務器數量應不低于2臺，建議您其它的名字服務器數量為5臺。但是個人建議將服務器防御部署在差別的物理網絡環(huán)境中在用入侵檢測系統，盡肯定的怎么檢測出中間人攻擊行為在域名服務系統周圍部署抗攻擊設備，如何應付這類型的攻擊利用流量分析等工具檢測出DDoS攻擊行為，以便趕快采取應急措施；

12.[防緩存窺視(Cache Snooping)]：限制二分查找服務的服務范圍，僅愿意某種特定網段的用戶在用遞歸算法服務；

13.[防緩存中毒(或DNS欺騙)(CachePoisoning內個DNSSpoofing)]：對最重要域名的解析結果并且重點監(jiān)測，那樣一來發(fā)現自己推導數據有變化能趕快能提供告警提示作戰(zhàn)部署dnssec；

14.建立完善系統的數據備份機制和日志管理系統。應保留哪個網站的3個月的全部解析日志，并且建議您對有用的域名信息系統根據不同情況7×24的魔獸維護機制保障，預警響應出面時間不能不能遲于30分鐘。