Linux之服务器安全

Linux之服务器安全

1 DNS服务器是什么
计算机之间的连接只能通过ip地址，为什么我们可以通过输入不同的域名访问散落在
世界各地的计算机呢？我们输入域名的时候，其实实质是指向了一个具体的ip，
所以我们才可以通简单的、“顾名思义”的域名去访问散落在世界各地的主机。
而帮我们实现这个从域名到ip转换的就是DNS服务器，

DNS是英文Domain Name System的缩写，翻译过来就是域名系统。
域名我们比较熟悉，比如：www.baidu.com这种，
域名系统主要由域名和域名对应的ip地址组成。
我们访问一个域名其实是访问域名对应的ip地址，
域名系统帮助我们将域名翻译成为ip地址。
DNS服务器就是为我们提供域名解析服务的主机，
一台域名服务器上会有一个或多个域名和ip一一对应的表，
当它收到某个域名解析请求时，
就通过一系列规则去搜索得到正确的ip，然后返回。

总结下一台DNS服务器的要素：
1.解析功能；

2.域名和ip地址一一对应的表；

2 DNS服务器怎么配置

1 关闭SElinux
	//临时关闭
	setenforce 0 
	//永久关闭selinux
	vim /etc/selinux/config 
	SELINUX=disabled

2 关闭防火墙
	//停止防火墙
	systemctl stop firewalld.service
	//关闭防火墙
	systemctl disable firewalld.service

3 安装DNS软件，能够实现解析功能：
	yum install bind

4 检查是否安装成功
	rpm -qa | grep bind

5 进入主配置文件，并进行修改配置
	vim /etc/named.conf

	修改内容:
	  listen-on port 53 { any; }; //开启监听端口53，接受任意IP连接 
	  allow-query		{ any; }; //允许任意IP查询 
	  # 关闭dnssec部分
	//dnssec-enable yes;        ps:可改可不改
	//dnssec-validation yes;      ps:可改可不改  安全扩展

3 正向解析

1 定义区域(/etc/named.rfc1912.zones)  ps:主要设置当前的域名是什么    ps：我们添加域名的时候千万不要忘记了com后面的点
	vim  /etc/named.rfc1912.zones
	增加内容:
		zone "enzhi.com." IN {       PS：这是域名真实地址
				type master;
				file "enzhi.com.zone";    PS：这是域名解析文件配置信息
		};

2 建立区域数据文件
	1 进入/var/named/文件夹
		cd /var/named/

2 创建文件（enzhi.com.zone） 也可以用  cp -p named.localhost  enzhi.com.zone
	vim enzhi.com.zone
	文件格式:
	$TTL 3600
	$ORIGIN enzhi.com.
	@       IN      SOA     enzhi.com.  admin.enzhi.com. (
							      2017011901   ps：序列号
							      1H    ps：刷新时间
							      10M  ps：重置时间
							      3D   ps：挂掉的时间
							      1D)  ps：最小连接时长

		@		NS			ns1.enzhi.com.
		ns1		IN      A		192.168.47.2(网关)
		www	IN      A		192.168.47.130(解析对应的IP地址)

	ps:
		$TTL 3600：表示定义默认TTL值，所以在下面的所有资源记录都不用在写TTL值；
		$ORIGIN enzhi.com.：作用是在资源记录中像"ns1.enzhi.com."就可以简写为ns1，
							会继承$ORIGIN后面定义的域名；

3 修改区域文件的权限及属组
	1 修改区域文件的属组为named用户
		chown :named enzhi.com.zone

2 修改区域文件的权限为640
	chmod 640 enzhi.com.zone

4 检查配置文件和区域文件是否有语法错误
	1 named-checkconf
	2 named-checkzone enzhi.com. /var/named/enzhi.com.zone  ps：/var/named/enzhi.com.zone指的是完整的路径

启动步骤

5 让服务器重载配置文件和区域文件(服务在启动的状态下)
	systemctl reload  named.service

6 测试(B机器必须和A机器属于同一个网关)
	1 dig -t A www.enzhi.com @192.168.47.2
	2 dig -t NS enzhi.com @192.168.47.2

	1 nslookup enzhi.com
	2 nslookup www.enzhi.com

OVER。。。。。。