从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化

# 一、dns的主要信息

关于dns的名词解释:dns:
domain name service(域名解析服务)

关于客户端:
/etc/resolv.conf dns指向文件

A记录 ##ip地址叫做域名的Address 记录
SOA ##授权起始主机

关于服务端

bind 安装包
named 服务名称
/etc/named.conf 主配置文件
/var/named 数据目录
端口 53

关于报错信息:

1.no servers could be reached 服务无法访问(服务开启?火墙?网络?端口?)
2.服务启动失败 配置文件写错 journalctl -xe查询错误
3.dig 查询状态
NOERROR 表示查询成功
REFUSED 服务拒绝访问
SERVFAIL 查询记录失败,(dns服务器无法到达上级,拒绝缓存)
NXDOMAIN 此域名A记录在dns中不存在

二、dns的安装及启用

安装
dnf install bind.x86_64 -y
从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第1张图片
启用
systemctl enable --now named
firewall-cmd --permanent --add-service=dns
firewall-cmd --reload

测试
在测试主机上(另一台主机)编辑文件
vim /etc/resolv.conf
从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第2张图片
客户端主机上运行
dig www.baidu.com
从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第3张图片
此时测试主机不能运行
从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第4张图片
客户端主机运行
netstat -antlupe | grep named
从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第5张图片
发现使用的53端口并没有对外开放

编辑配置文件
vim /etc/named.conf
从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第6张图片
重启服务
systemctl restart named

此时测试主机上有回应

从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第7张图片

但并拒绝服务,没有成为服务对象

继续编辑配置文件

从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第8张图片
在这里插入图片描述

重启服务
systemctl restart named

此时测试主机便可进行解析
从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第9张图片

三、高速缓存dns

服务器和外部服务器进行沟通的时候,是要用到解析的。

比如说企业中有很多台服务器需要用地址解析来获得真正要访问或者要接收数据的地址。
理论上这些主机要获取外网的信息,肯定是要使用外网的dns,所有的主机都要询问外网的dns,一台主机和外网dns的通讯是需要时间的,而此时有很多台主机,如果可以节省下来时间则可以提高很多效率。具体操作就是,内网的一台主机作为服务器构建一个dns,所有的主机都连接这台服务器主机的dns,服务器主机访问外网的dns将数据缓存下来,服务器主机从外网获取信息可能花一些时间,其余主机直接访问内网的服务器主机即可。这台主机则是高速缓存dns。

服务器主机上
编辑配置文件
vim /etc/named.conf

从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第10张图片
重启服务
systemctl restart named

再编辑配置文件
vim /etc/resolv.conf
从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第11张图片

第二胎主机也要设置成一样的ip
在这里插入图片描述
此时 高速缓存dns就搭建完成
同时访问一个网址时
在这里插入图片描述
在这里插入图片描述

四、dns的正向解析

自己搭建一个dns服务器
自己给自己做解析

编辑配置文件
vim /etc/named.conf
从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第12张图片

手动建立一个文件
cp -p /var/named/named.localhost /var/named/westos.org.zone

从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第13张图片
编写这个文件(A记录文件)
vim westos.org.zone
从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第14张图片

重启服务
systemctl restart named

dig www.westos.org
从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第15张图片

A写的什么 dns解析的就能看到什么

但不建议将域名信息写道主配置文件里面
而是

从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第16张图片
编辑
vim /etc/named.rfc1912.zones

从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第17张图片
A记录文件名称是自定义的

重新书写A记录文件
cp -p named.loopback westos.org.zone
vim westos.org.zone
从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第18张图片
测试
从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第19张图片

五、dns的数据类型分析

1、A记录

2、CNAME(canonical name)

一家企业对外开放的域名只有一个,但企业内部主机的域名不可能只用同一个名字,所以需要将内部域名转换成公网域名给别人用,别人在解析的时候需要将公网域名转换成内部域名做解析。

编辑记录文件
vim westos.org.zone

从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第20张图片
从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第21张图片

3、MX记录

邮件解析记录

编辑记录文件
vim westos.org.zone
从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第22张图片
从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第23张图片

4、反向解析记录

反向解析记录与正向解析记录是独立的

编辑配置文件
vim /etc/named.rfc1912.zones
从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第24张图片
再编辑记录文件
cp -p named.localhost 192.168.0.ptr
vim 192.168.0.ptr
从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第25张图片

六、dns的双向解析

需要两个不同的网段
从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第26张图片
设置另一台主机可以与之互通
从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第27张图片
将测试主机
在这里插入图片描述
客户端主机上
cp -p westos.org.zone westos.org.inter
编辑westos.org.inter
vim westos.org.inter

从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第28张图片
cp /etc/named.rfc1912.zones /etc/named.rfc1912.inters -p

更改/etc/named.rfc1912.inters信息
vim /etc/named.rfc1912.inters
从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第29张图片

最后设定主配置文件
从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第30张图片

七、辅助dns的设定及优化(dns集群)

如果一台主机作为dns服务器,就有很多用户去访问,这台主机就有更大的几率顶不知很多用户的压力而崩溃,所以就要用另一台主机对dns服务器的压力进行均摊

主dns:
zone “westos.com” IN {
type master;
file “westos.com.zone”;
allow-update { none; };
also-notify { 192.168.0.30; }; ##主动通知的辅助dns主机
};

在林一台主机上安装
dnf install bind -y

从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第31张图片
设定火墙
firewall-cmd --permanent --add-service=dns
firewall-cmd --reload
从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第32张图片

编辑主配置文件
vim /etc/named.conf
从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第33张图片
在这里插入图片描述
编辑
vim /etc/named.rfc1912.zones

从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第34张图片
设定 /etc/resolv.conf

在这里插入图片描述

在主机dns服务器里面
vim /etc/named.rfc1912.zones

从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第35张图片

八、dns的key更新实施

要更新需要生成一个key(生成加密文件)

dnssec-keygen -a HMAC-SHA256 -b 128 -n HOST westos

从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第36张图片

此时生成的密码dns不知道,这时就要将钥匙指定给dns

cp /etc/rndc.key /etc/westos.key
编辑key文件
vim /etc/westos.key
从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第37张图片

编辑主配置文件
从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第38张图片
编辑配置文件 指定谁可以更新
vim /etc/named.rfc1912.zones
在这里插入图片描述

九、动态域名解析

装在服务
dnf instsall dhcp-server -y
从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第39张图片

dhcp意味用户主机获得ip的时候时不固定的

这时需要操作
编辑配置文件
cp /usr/share/doc/dhcp-server/dhcpd.conf.example /etc/dhcp/dhcpd.conf

vim /etc/dhcp/dhcpd.conf
从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第40张图片
在这里插入图片描述在这里插入图片描述

从零学习Linux操作系统 第二十二部分 企业域名解析服务的部署及安全优化_第41张图片
重启服务
systemctl restart dhcpd

你可能感兴趣的:(学习,linux,安全)