技巧5-7

　　(5)隐藏BIND的版本信息

　　通常软件的漏洞和风险信息是和特定版本相关的，因此版本号是黑客进行攻击所需要搜集的最有价值的信息之一。黑客使用dig命令可以查询BIND的版本号，然后黑客就能够通过版本号查询知道这个软件有那些漏洞，并寻求相应的工具来针对该漏洞进行攻击。因此，随意公开 BIND版本号是不明智的，具有很大的风险。其实，隐藏BIND版本号比较简单，只需要修改配置文件/etc/named.conf，在option部分添加version声明将BIND的版本号信息进行覆盖即可。使用下面的配置声明将BIND版本号覆盖，当有人请求版本信息时，将无法得到有用的版本信息：

　　options {

　　version “Unkown”

　　}；

　　(6)使用非root权限运行BIND

　　在Linux内核2.3.99以后的版本中，可以以-u选项以非root权限运行BIND。该命令表示以 nobody用户身份运行BIND，使用nobody身份运行能够降低缓冲区溢出攻击所带来的危险。命令如下：

　　#/usr/local/sbin/named –u nobody

　　(7)删除DNS上不必要的其他服务

　　删除DNS机器上不必要的其他服务。网络服务是造成系统安全的重要原因，常见的DoS攻击、弱脚本攻击以及缓冲区溢出攻击都是由于系统存在网络服务所引起的。在安装DNS运行所依赖的操作系统前，就应该确定在系统中运行的服务的最小集合，创建一个DNS服务器系统就不应该安装Web、POP、gopher、NNTP News等服务。建议不安装以下软件包：

   (1)X-Windows及相关的软件包；

   (2)多媒体应用软件包；

   (3)任何不需要的编译程序和脚本解释语言；

   (4)任何不用的文本编辑器；

   (5)不需要的客户程序；

   (6)不需要的其他网络服务。