BIND 9

CHAPTER 6. BIND 9配置参考 6.2. 配置文件语法
如 果 没 有 提 供controls语 句 ,named 将 设 置 一 个 缺 省 的 控 制 通 道 , 监 听 在 环 回 地 址127.0.0.1及
其IPv6的对应者::1 上。在这样的情况下,当有controls语句但是没有提供一个keys子句时,named将
试图从/etc(或者是BIND编译时sysconfdir所指定的目录)下的rndc.key文件中装载命令通道
密钥。要建立一个rndc.key文件,运行rndc-confgen -a。
建立rndc.key特性是为了减少从BIND 8的改变,后者在其命令通道上没有提供数字签名,因而
没有keys子句。这使BIND 9可以不加改变地使用现成的BIND 8配置文件,并使rndc能够用与BIND
8中ndc同样的方式工作,只是在BIND 9安装完成之后简单地执行命令rndc-confgen -a。
由于rndc.key特性只是想要允许向后兼容BIND 8配置文件的用法,这个特征没有高度的配置能力。
你不能很容易地改变密钥名或秘密的大小,所以,如果你希望更改这些东西,你应该用你自己的密钥
建立一个rndc.conf。rndc.key文件有其自身的权限设置,以使其只能由其所有者(运行named的
用户)才能访问。如果你期望更大的灵活性以使其它用户可以访问rndc命令,你需要建立一个rndc.
conf并将其设为要访问它的用户所在的组具有组可读的权限。
要禁用命令通道,使用一个空的controls语句:controls { };。
6.2.5 include语句语法
include filename;
6.2.6 include语句定义和用法
include语句将指定的文件插入到include语句出现的点。include语句使配置文件的管理更加容易,可
以允许读或者写某些内容,没有其它用途。例如,这个语句可以包含进只有名字服务器才可以读的私
钥。
6.2.7 key语句语法
key key_id {
algorithm string;
secret string;
};
6.2.8 key语句定义和用法
key语句定义了一个共享密钥,用于TSIG (参见第4.5节)或命令通道(参见第6.2.4节)中。
key语句可以放在配置文件的顶级或一个view语句的内部。定义在顶级key语句中的密钥可以用于所
有视图中。想要用于controls语句(参见第6.2.4节)中的密钥必须定义在顶级中。
key id,即密钥的名字,是一个唯一表示一个密钥的域名。它可以用于一个server语句中,它使发向
那台服务器的请求都用这个密钥签名,或者用于地址匹配表中,以检验所收到的请求是由与这个名
字、算法和秘密相匹配的密钥所签名。
algorithm id是一个指定安全/认证算法的字符串。named支持hmac-md5,hmac-sha1,hmacsha224,hmac-sha256,hmac-sha384和hmac-sha512
TSIG认证。通过在尾部增加一个以减号开
始的符合要求位数的最小数字来支持截断散列,如:hmac-sha1-80。secret string是算法所用
到的秘密,被当作一个base-64编码的字符串。
6.2.9 logging语句语法
logging {
[ channel channel_name {
( file path_name
[ versions ( number | unlimited ) ]
48