1      ;serial

    3H     ;refresh

    1H     ;retry

    1W     ;expire

    1D )   ;minimum

CHAOS NS   localhost/

;

Доступ мы ограничили; я думаю, со мной многие согласятся, что «защита» без ведения логов – это не защита, так как лучше знать своего врага в лицо. Разработчики bind’a позаботились и об этом: существует возможность ведения лог-файлов. Вот основные приемы (создаем новую секцию logging):

logging {

# определяем канал по умолчанию для ведения логов запросов к bind

    channel default_ch { 

           file "/var/log/named.log";

           serverity info;     # уровень важности регистрационной информации

           print-time yes;     # регистрировать время

           print-category yes; # регистрировать категорию

    };

    channel security_ch {

# определяем канал для ведения логов по защите

           file "/var/log/security.log";

           serverity info;

           print-time yes;

           print-category yes;

    };

    # инициализация каналов

    category  default { default_ch; };

    category  security  { security_ch; };

};

Вот и все. Как было сказано выше, эта информация не является исчерпывающей по данному воросу, так как полная настройка системы защиты DNS строится на создании для службы DNS chrooted environment, создание для нее sandbox и т. д., вплоть до защиты системы в целом.

Рекомендуемые материалы:

1. М. Канавалова. Securing Bind.

2. RFC по DNS.

3. man bind.

4. Criag H. Rowland. Securing Bind.