从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化
# 一、dns的主要信息
关于dns的名词解释:dns:
domain name service(域名解析服务)
关于客户端:
/etc/resolv.conf dns指向文件
A记录 ##ip地址叫做域名的Address 记录
SOA ##授权起始主机
关于服务端
| bind | 安装包 |
|---|---|
| named | 服务名称 |
| /etc/named.conf | 主配置文件 |
| /var/named | 数据目录 |
| 端口 | 53 |
关于报错信息:
| 1.no servers could be reached | 服务无法访问(服务开启?火墙?网络?端口?) |
|---|---|
| 2.服务启动失败 | 配置文件写错 journalctl -xe查询错误 |
| 3.dig | 查询状态 |
|---|---|
| NOERROR | 表示查询成功 |
| REFUSED | 服务拒绝访问 |
| SERVFAIL | 查询记录失败,(dns服务器无法到达上级,拒绝缓存) |
| NXDOMAIN | 此域名A记录在dns中不存在 |
二、dns的安装及启用
安装
dnf install bind.x86_64 -y
启用
systemctl enable --now named
firewall-cmd --permanent --add-service=dns
firewall-cmd --reload
测试
在测试主机上(另一台主机)编辑文件
vim /etc/resolv.conf
客户端主机上运行
dig www.baidu.com
此时测试主机不能运行
客户端主机运行
netstat -antlupe | grep named
发现使用的53端口并没有对外开放
编辑配置文件
vim /etc/named.conf
重启服务
systemctl restart named
此时测试主机上有回应
但并拒绝服务,没有成为服务对象
继续编辑配置文件
重启服务
systemctl restart named
此时测试主机便可进行解析
三、高速缓存dns
服务器和外部服务器进行沟通的时候,是要用到解析的。
比如说企业中有很多台服务器需要用地址解析来获得真正要访问或者要接收数据的地址。
理论上这些主机要获取外网的信息,肯定是要使用外网的dns,所有的主机都要询问外网的dns,一台主机和外网dns的通讯是需要时间的,而此时有很多台主机,如果可以节省下来时间则可以提高很多效率。具体操作就是,内网的一台主机作为服务器构建一个dns,所有的主机都连接这台服务器主机的dns,服务器主机访问外网的dns将数据缓存下来,服务器主机从外网获取信息可能花一些时间,其余主机直接访问内网的服务器主机即可。这台主机则是高速缓存dns。
服务器主机上
编辑配置文件
vim /etc/named.conf
重启服务
systemctl restart named
再编辑配置文件
vim /etc/resolv.conf
第二胎主机也要设置成一样的ip
此时 高速缓存dns就搭建完成
同时访问一个网址时
四、dns的正向解析
自己搭建一个dns服务器
自己给自己做解析
编辑配置文件
vim /etc/named.conf
手动建立一个文件
cp -p /var/named/named.localhost /var/named/westos.org.zone
编写这个文件(A记录文件)
vim westos.org.zone
重启服务
systemctl restart named
dig www.westos.org
A写的什么 dns解析的就能看到什么
但不建议将域名信息写道主配置文件里面
而是
编辑
vim /etc/named.rfc1912.zones
A记录文件名称是自定义的
重新书写A记录文件
cp -p named.loopback westos.org.zone
vim westos.org.zone
测试
五、dns的数据类型分析
1、A记录
2、CNAME(canonical name)
一家企业对外开放的域名只有一个,但企业内部主机的域名不可能只用同一个名字,所以需要将内部域名转换成公网域名给别人用,别人在解析的时候需要将公网域名转换成内部域名做解析。
编辑记录文件
vim westos.org.zone
3、MX记录
邮件解析记录
编辑记录文件
vim westos.org.zone
4、反向解析记录
反向解析记录与正向解析记录是独立的
编辑配置文件
vim /etc/named.rfc1912.zones
再编辑记录文件
cp -p named.localhost 192.168.0.ptr
vim 192.168.0.ptr
六、dns的双向解析
需要两个不同的网段
设置另一台主机可以与之互通
将测试主机
客户端主机上
cp -p westos.org.zone westos.org.inter
编辑westos.org.inter
vim westos.org.inter
cp /etc/named.rfc1912.zones /etc/named.rfc1912.inters -p
更改/etc/named.rfc1912.inters信息
vim /etc/named.rfc1912.inters
最后设定主配置文件
七、辅助dns的设定及优化(dns集群)
如果一台主机作为dns服务器,就有很多用户去访问,这台主机就有更大的几率顶不知很多用户的压力而崩溃,所以就要用另一台主机对dns服务器的压力进行均摊
主dns:
zone “westos.com” IN {
type master;
file “westos.com.zone”;
allow-update { none; };
also-notify { 192.168.0.30; }; ##主动通知的辅助dns主机
};
在林一台主机上安装
dnf install bind -y
设定火墙
firewall-cmd --permanent --add-service=dns
firewall-cmd --reload
编辑主配置文件
vim /etc/named.conf
编辑
vim /etc/named.rfc1912.zones
设定 /etc/resolv.conf
在主机dns服务器里面
vim /etc/named.rfc1912.zones
八、dns的key更新实施
要更新需要生成一个key(生成加密文件)
dnssec-keygen -a HMAC-SHA256 -b 128 -n HOST westos
此时生成的密码dns不知道,这时就要将钥匙指定给dns
cp /etc/rndc.key /etc/westos.key
编辑key文件
vim /etc/westos.key
编辑主配置文件
编辑配置文件 指定谁可以更新
vim /etc/named.rfc1912.zones
九、动态域名解析
装在服务
dnf instsall dhcp-server -y
dhcp意味用户主机获得ip的时候时不固定的
这时需要操作
编辑配置文件
cp /usr/share/doc/dhcp-server/dhcpd.conf.example /etc/dhcp/dhcpd.conf
vim /etc/dhcp/dhcpd.conf
重启服务
systemctl restart dhcpd