1、RHCE 课程-RH253Linux 服务器架设笔记五-DNS 服务器配置(1)在 LINUX 下面架设 DNS 服务器,不知道 DNS 解析原理,根本会了和不会没区别 , 网络中为了区别各个主机,必须为每台主机分配一个惟一的地址,这个地址即称为“IP 地址”。但这些数字难以记忆,所以就采用“域名”的方式来取代这些数字了。当某台主机要与其他主机通信时,就可以利用主机名称向 DNS 服务器查询该主机的 IP 地址,所以我们的网卡要上网至少要 3 个信息,IP 地址,网关,DNS 服务器地址。 DNS 的组织结构这个就是 DNS 的组织结构,最上面是根域名 dot,全球 13 台根域服务器,没有一
2、台在中国,因为中国网络发展,起步迟。而且所有的 dot DNS 服务器都是 bind 软件架设的,我们今天要学习的也是 bind 软件。全球 70%的大型 DNS 服务器都是基于 bind 软件。 常见的顶级域服务器我国的顶级域也就只有 cn DNS 解析过程我给大家解释下,比如解析 host 文件和缓存有没有这个记录,有就直接解析,没有就访问 DNS 服务器,如果 DNS 服务器上没 不在你访问的 DNS 服务器管理区域内,那么 DNS 服务器就会向 dot 根域名服务器发递归查询 ,如果找到了记录了,DNS 就会返回给 client,并且把记录保存在自己缓存里,下次有 client 请求
3、,他就会调用自己的缓存,直到这条记录的生存期结束,就会丢弃这条记录。 根域名服务器就 13 台域名服务器,他负责管理顶级域。顶级域负责管理二级域,我们现在申请的一般是 2 级域名 -3 级域名。比如 , 哈 是2 级域名, 是 3 级域名,.这个就是 FQDN。本周我们要学习的内容主配置文件 设置根区域 设置主区域 设置反向解析区域 根服务器信息文件 named.ca 区域文件 反向解析区域文件 实现负载均衡功能 实现直接解析域名 实现泛域名的解析 主要名称服务器的测试 配置辅助域名服务器 配置缓存域名服务器 我们申请的是域名,然后你去管理你的域名,自己添加主机记录哈其实 是域名,前面的主
4、机记录随便你怎么写, 也行, 也行, 是域名,www 是主机。 比如 最后点是根域名,然后com 是顶级域名,redhat 是二级域名,www 是主机记录,如果你要说 .了,在选择域名时必须符合 RCF 1123 中的规定:域名由所有大写字母(AZ )、小写字母(az)、数字(0 9)和连字符( -)组成。由于很多域名商,所以现在想申请到好的 2 及域名是不可能了,域名大小写不敏感。每台主机都有一个 host 文件,负责 IP 地址的域名快速解析的文件,文件以 ASCII 格式保存在“/etc”目录下,文件名为“hosts”,hosts 文件包含了 IP 地址和主机名之间的映射,还包括主机名的
5、别名。 hosts 文件的格式如下: IP 地址 主机名 /域名 主机别名 windows 下也有 hosts 文件,C:WINDOWSsystem32driversetc 可以使用记事本打开如果 host 里有记录就会优先使用,这个文件也是黑客,和病毒软件攻击你的一个入口,如果某个病毒软件在这个文件添加一个记录 202.23.23.1 IP 地址是带有病毒的而已网站,或者是钓鱼攻击,你可能就会出问题,所以这个文件一般修改成只读,还有些第三方软件,为了防止一些木马之类的病毒,会把一些有问题的网站在自理定义,解析成 127.0.0.1,这样你就不会访问到这些网站, 360 就会这么干哈linu
6、x 也有这个文件/etc/hosts好了,下面介绍下 bind 软件,Linux 下架设 DNS 服务器通常是使用 Bind 程序来实现的。 Bind 是 Berkeley Internet Name Domain Service 的简写,它是一款实现 DNS 服务器的开放源码软件。Bind 原本是美国 DARPA 资助伯克里大学(Berkeley)开设的一个研究生课题,后来经过多年的变化发展,已经成为世界上使用最为广泛的 DNS 服务器软件,目前 Internet 上绝大多数的 DNS 服务器有都是用 Bind 来架设的。 DNS 服务介绍 后台进程:named 脚本:/etc/rc.d/i
7、nit.d/named 使用端口:53(tcp,udp) 所需 RPM 包: bind-9.3.3-10.el5 相关 RPM 包: bind-chroot caching-nameserver 配置文件:/var/named/chroot/etc/named.conf 相关路径:/var/named/ 1990 年以后,bind-chroot 增加了 bind 服务器的安全性,早期 Linux 服务都是以 root 权限启动和运行的,随着技术的发展,各种服务变得越来越复杂,导致 BUG 和漏洞越来越多。黑客利用服务的漏洞入侵系统,能获得 root 级别的权限,从而控制整个系统。 为了减缓这种
8、攻击所带来的负面影响,现在服务器软件通常设计为以 root 权限启动,然后服务器进程自行放弃 root,再以某个低权限的系统账号来运行进程。这种方式的好处在于该服务被攻击者利用漏洞入侵时,由于进程权限很低,攻击者得到的访问权限又是基于这个较低权限。 bind 的主配置文件 /etc/named.conf ,我们先安装 bind 服务器 rootrhel5 # rpm -ivh /mnt/cdrom/Server/bind-9.3.3-10.el5.i386.rpm warning: /mnt/cdrom/Server/bind-9.3.3-10.el5.i386.rpm: Header V3
9、DSA signature: NOKEY, key ID 37017186 Preparing. # 100% 1:bind # 100% rootrhel5 # rpm -ivh /mnt/cdrom/Server/bind-libbind-devel-9.3.3-10.el5.i386.rpm warning: /mnt/cdrom/Server/bind-libbind-devel-9.3.3-10.el5.i386.rpm: Header V3 DSA signature: NOKEY, key ID 37017186 Preparing. # 100% 1:bind-libbind-
10、devel # 100% rootrhel5 # rpm -ivh /mnt/cdrom/Server/bind-sdb-9.3.3-10.el5.i386.rpm warning: /mnt/cdrom/Server/bind-sdb-9.3.3-10.el5.i386.rpm: Header V3 DSA signature: NOKEY, key ID 37017186 Preparing. # 100% 1:bind-sdb # 100% rootrhel5 # rpm -ivh /mnt/cdrom/Server/bind-devel-9.3.3-10.el5.i386.rpm wa
11、rning: /mnt/cdrom/Server/bind-devel-9.3.3-10.el5.i386.rpm: Header V3 DSA signature: NOKEY, key ID 37017186 Preparing. # 100% 1:bind-devel # 100% rootrhel5 # rpm -ivh /mnt/cdrom/Server/caching-nameserver-9.3.3-10.el5.i386.rpm warning: /mnt/cdrom/Server/caching-nameserver-9.3.3-10.el5.i386.rpm: Header
12、 V3 DSA signature: NOKEY, key ID 37017186 Preparing. # 100% 1:caching-nameserver # 100% rootrhel5 # rpm -ivh /mnt/cdrom/Server/bind-chroot-9.3.3-10.el5.i386.rpm warning: /mnt/cdrom/Server/bind-chroot-9.3.3-10.el5.i386.rpm: Header V3 DSA signature: NOKEY, key ID 37017186 Preparing. # 100% 1:bind-chro
13、ot # 100% rootrhel5 # 注意:bind-chroot 软件包最好最后一个安装,否则会报错哈bind 的配置文件默认是没有的,需要自己手写,但是很多,容易写错,所以我们安装模板文件,然后来修改。由于安装了 chroot 环境,所以我们的/etc/named.conf 应该在/var/named/chroot/etc/ 目录。没有 named.conf,所以我们要把 named.caching-name.conf 文件 copy 一份成 named.conf 哈 cp /var/named/chroot/etc/named.caching-nameserver.conf /va
14、r/named/chroot/etc/named.conf编辑 named.conf 这个文件,把文件里面多余的东西删除了,只剩下如图中的内容,然后我们来写先检查你主机的名字,使用 hostname 记住,linux 的主机名要是 FQDN 的样式,把你们自己的主机名字改改,不要最后的那个,这个很重要的。 刚才讲了 FQDN 最后有根域的,把那个跟域去掉,就是你的主机名,改成那个样子。linux 修改主机名字修改三个地方,不知道大家还记得不? 第一步:hostname 主机名第二步:vim /etc/hosts第三步:vim /etc/sysconfig/network修改完了把终端关闭了,然
15、后重新打开就可以了修改完了,我们继续下面我以 这个二级域名来建立一个域名服务器全局配置(options ) options 语句在每个配置文件中只有一个。如果出现多个 options, 则第一个 options 的配置有效,并会产生一个警告信息。listen-on port 53 127.0.0.1; ;监听端口,修改成自己的 IP 地址,如果有多个 IP,就写多个,每行要以;结束。directory “/var/named“;zone 文件的存放目录,这里的/var/named 是相对目录,在 chroot 环境下/var/named 目录下。allow-query localhost; ; 允许查询的 client,我们修改成本地网段 192.168.1.0/24
