中標(biāo)麒麟Linux系統(tǒng)DNS服務(wù)配置指南

1、中標(biāo)麒麟Linux系統(tǒng)DNS服務(wù)配置指南技術(shù)創(chuàng)新，變革未來中標(biāo)麒麟Linux服務(wù)器操作系統(tǒng)培訓(xùn)系列本章目標(biāo)理解主機(jī)名的解析以及它對(duì)聯(lián)網(wǎng)系統(tǒng)結(jié)構(gòu)的影響使用常用工具來探察和校驗(yàn) DNS 服務(wù)器操作描述域名系統(tǒng) (Domain Name System, DNS)執(zhí)行基本的 BIND DNS 配置主機(jī)名解析某些名稱服務(wù)提供將主機(jī)名轉(zhuǎn)換成計(jì)算機(jī)能夠用來溝 通的低級(jí)地址的機(jī)制例如：名稱 - MAC 地址 (鏈接層)例如：名稱 - IP 地址 (網(wǎng)絡(luò)層) - MAC 地址 (鏈接層)常用主機(jī)名稱服務(wù)文件 (/etc/hosts 和 /etc/sysconfig/network)DNSNIS多重客戶端解析程序

2、：“stub” (占位程序)dighostnslookupStub 解析程序所有程序都可使用的通用解析程序庫由 gethostbyname() 和其它 glibc 功能提供不具備更高性能的訪問控制能力，例如簽發(fā)或加密數(shù) 據(jù)包可以查詢由 glibc 支持的任何名稱服務(wù)讀取 /etc/nsswitch.conf 來決定查詢名稱服務(wù)的順序。 下面是默認(rèn)配置：hosts: files dnsNIS 域名和 DNS 域名通常有所不同，這樣會(huì)簡(jiǎn)化故障排除，避免名稱沖突DNS 特有的解析程序host從不讀取 /etc/nsswitch.conf 文件默認(rèn)情況是在 /etc/resolv.conf 中查找 n

3、ameserver 和search 行默認(rèn)僅給出最少量的輸出dig從不讀取 /etc/nsswitch.conf 文件默認(rèn)情況是在 /etc/resolv.conf 文件中只查找nameserver 行輸出是 RFC 標(biāo)準(zhǔn)的區(qū)塊文件格式。該格式被 DNS 服務(wù)器使用，從而使 dig對(duì)查看 DNS 解析情況特別有 用使用 dig 來跟蹤 DNS 查詢dig +trace讀取 /etc/resolv.conf 文件來判定名稱服務(wù)器查詢根名稱服務(wù)器追隨推薦服務(wù)器來查找名稱記錄(答復(fù))若培訓(xùn)中心的防火墻禁止輸出的 DNS，則參考注釋 中的輸出示例選代 (iterative) 查詢初步觀察結(jié)果：名稱被組

4、織成一個(gè)倒轉(zhuǎn)的樹形結(jié)構(gòu)，最頂端是根 (.)名稱層次允許 DNS 跨越機(jī)構(gòu)界限記錄中的名稱若是完全確認(rèn)的域名，就以一個(gè)點(diǎn)結(jié)尾其它觀察結(jié)果在前一個(gè)跟蹤中的答復(fù)使用資源記錄 (resource records) 格式每個(gè)資源記錄都有五個(gè)字段：domain - 被查詢的域或子域ttl - 記錄被保存在緩存中的時(shí)間，以秒為單位class - 記錄類別 (通常是 IN)type - 記錄類型，例如A 或 NSrdata - domain 映射的資源數(shù)據(jù)從概念上講，用戶會(huì)查詢 domain (域名)，而 domain則映射到 rdata 來查找答案在跟蹤示例中， 推薦使用 NS (名稱服務(wù)器) 記錄A (地

5、址)記錄是最終答復(fù)，也是 dig 命令的默認(rèn)查詢 類型正向查詢dig 首先試圖遞歸，如輸出中的 flags (標(biāo)志)部分用 rd 表 示。如果名稱服務(wù)器允許遞歸，那么服務(wù)器就會(huì)找到 答案，將請(qǐng)求的記錄返回給客戶端如果名稱服務(wù)器不允許遞歸，那么服務(wù)器就推薦一個(gè) dig 可以跟蹤的上級(jí)域名觀察dig 的默認(rèn)查詢類型是A，它記錄的 rdata 是一個(gè) IPv4地址使用 -t AAAA 來請(qǐng)求 IPv6 rdata若成功，dig 返回一個(gè) NOERROR 狀態(tài)，一個(gè)答復(fù)計(jì)數(shù)， 還會(huì)顯示哪個(gè)名稱服務(wù)器對(duì)這個(gè)名稱最有權(quán)威逆向查詢dig -x 0觀察輸出的問題部分顯示了 DNS 逆轉(zhuǎn)了地址的八進(jìn)制數(shù) 字，在

6、記錄的完整域名后面添加了 .答復(fù)部分顯示了對(duì)于逆向查詢，DNS 使用 PTR (指 針)記錄此外，PTR 記錄的 rdata 是完整網(wǎng)絡(luò)域名郵件交換器查詢MX 記錄會(huì)將域映射到郵件服務(wù)器的完整網(wǎng)絡(luò)域名dig -t mx 觀察rdata 字段被引伸為包括一個(gè)額外的叫做優(yōu)先級(jí)(priority) 的數(shù)據(jù)優(yōu)先級(jí)可以被當(dāng)作是一個(gè)距離：網(wǎng)絡(luò)優(yōu)選短距離要避免額外查詢，名稱服務(wù)器通常在額外答復(fù)中提供 和 MX 記錄中的 FQDN相對(duì)應(yīng)的 A 記錄MX 記錄和它相關(guān)的 A 記錄一起解析某個(gè)域的郵件服 務(wù)器SOA 查詢SOA 記錄將一個(gè)服務(wù)器標(biāo)記為主服務(wù)器dig -t soa 初步觀察結(jié)果域字段叫做始發(fā)地址rd

7、ata字段被引伸為支持額外數(shù)據(jù)，下一個(gè)演示片對(duì) 此進(jìn)行了解釋一般說來，一個(gè)域通常有一個(gè)主名稱服務(wù)器，它保存 數(shù)據(jù)的主要副本域或區(qū)塊的其它規(guī)范性名稱服務(wù)器被成為“從服務(wù) 器”，它們會(huì)將其數(shù)據(jù)與主服務(wù)器同步SOA rdata主名稱服務(wù)器的 FQDN聯(lián)系郵件地址系列號(hào)碼在檢查系列號(hào)碼前刷新延遲時(shí)間從服務(wù)器的重試間隔當(dāng)從服務(wù)器無法聯(lián)系它的主服務(wù)器時(shí)，記錄會(huì)過期否定性答復(fù) (“no such host”，) 的 TTL 最小值成為權(quán)威性服務(wù)器SOA 記錄僅僅指出始發(fā)地址 (域) 的主服務(wù)器成為權(quán)威性服務(wù)器的條件：來自父域的授權(quán)：NS 記錄和 A 記錄域數(shù)據(jù)的本地副本，包括 SOA 記錄具備正確的授權(quán)，但

8、是缺乏域數(shù)據(jù)的名稱服務(wù)器被稱 為“欠缺服務(wù)器 (lame server)”查詢一切dig -t axfr . 54觀察該區(qū)塊中的所有記錄都被傳送記錄中有很多內(nèi)部網(wǎng)絡(luò)資料響應(yīng)對(duì)于 UDP 來說太大，因此使用 TCP 來傳送多數(shù)服務(wù)器將區(qū)塊傳送局限于幾個(gè)主機(jī)(通常是從服 務(wù)器)在從服務(wù)器上使用這個(gè)命令來測(cè)試主服務(wù)器的權(quán)限使用 host 來探察 DNS對(duì)于以下的查詢，添加一 個(gè) -v 選項(xiàng)來以區(qū)塊文件 格式查看輸出跟蹤：不可用授權(quán)：host -rt ns 強(qiáng)制選代：host -r逆向查詢：host 0MX 查詢：host -t mx SOA 查詢：host -t soa 區(qū)塊傳送：host -t a

9、xfr 54或 host -t ixfr . 54到服務(wù)器的過渡中標(biāo)麒麟 Linux 使用 BIND (Berkely Internet Name Domain，伯克利互聯(lián)網(wǎng)域名)BIND 是互聯(lián)網(wǎng)上使用最廣泛的 DNS 服務(wù)器在一個(gè)穩(wěn)定可靠的體系上建構(gòu)域名和 IP 地址關(guān)聯(lián)對(duì) DNS RFC 的參考實(shí)現(xiàn)在 chroot 環(huán)境下運(yùn)行服務(wù)介紹: DNS類型：系統(tǒng) V (System V) 管理的服務(wù)軟件包：bind, bind-utils, bind-chroot守護(hù)進(jìn)程：/usr/sbin/named, /usr/sbin/rndc腳本：/etc/init.d/named端口：53 (doma

10、in)，953 (rndc)配置文件：(/var/named/chroot/目錄下)/etc/named.conf、/var/named/*, /etc/rndc.key相關(guān)軟件包：caching-nameserver、openssl訪問控制側(cè)寫 : BINDNetfilter：進(jìn)入流量 tcp/udp 端口 53 和 953；輸出 流量 tcp/udp 臨時(shí)端口TCP Wrapper：不適用lddwhich named | grep libwrapstringswnicn namea | grep nostsXinetd：不適用 (named 不是獨(dú)立守護(hù)進(jìn)程)PAM：不適用(在 /etc/

11、pam.d/ 中沒有配置)SELinux：可用 - 參考注釋應(yīng)用程序特有的控制：可用，稍后討論/usr/share/doc/bind-*/arm/Bv9ARM.html,pdfBIND 入門安裝軟件包bind 提供核心二進(jìn)制程序bind-c hroot 提供安全性caching-nameserver 提供初始配置進(jìn)行啟動(dòng)配置service named configtestservice named startchkconfig named on開始進(jìn)行基本的 named 配置基本的 named 配置配置 stub 解析程序在 /etc/named.conf 中定義訪問控制提供客戶端匹配列表服務(wù)

12、器接口：listen-on 和 listen-on-v6應(yīng)該允許哪些查詢？選代：allow-query match-list; ;遞歸：allow-recursion match-list; ;傳送：allow-transfer match-list; ;通過區(qū)塊文件添加數(shù)據(jù)測(cè)試！配置 Stub 解析程序在名稱服務(wù)器上：編輯 /etc/resolv.conf 來指定 nameserver 編輯 /etc/sysconfig/network-scripts/ifcfg-* 來指定PEERDNSno優(yōu)點(diǎn)：確保所有應(yīng)用程序查詢的一致性簡(jiǎn)化訪問控制和故障排除除了 /etc/resolv.conf 以外

13、，不具特權(quán)的用戶還可以 在哪里看到 DHCP 提供的名稱服務(wù)器？bind-chroot 軟件包在 /var/named/chroot 中安裝 chroot 環(huán)境將現(xiàn)有的配置文件轉(zhuǎn)移到 chroot 環(huán)境，將原始文件替 換成符號(hào)鏈接更新 /etc/sysconfig/named 文件中的 named 選項(xiàng)：ROOTDIR/var/named/chroot 提示安裝了 bind-chroot 軟件包后查看/etc/sysconfig/named 文件啟動(dòng)了 named 后運(yùn)行 ps -ef | grep named 來校驗(yàn)啟 動(dòng)選項(xiàng)caching-nameserver 軟件包named.cachi

14、ng-nameserver.confnamed.ca 包含根服務(wù)器的“提示”用于本地機(jī)器名稱和 IP 地址 (如 localhost.localdomain) 正向和逆向查詢的區(qū)塊文件提示將 named.caching-nameserver.conf 復(fù)制為named.conf將擁有者改成 root:named編輯 named.conf 文件地址匹配列表使用分號(hào)間隔的 IP 地址列表或者與基于主機(jī)的訪 問控制安全性指令共同使用的子網(wǎng)列表格式IP 地址：后續(xù)的點(diǎn)：192.168.0.CIDR：192.168.0/24使用嘆號(hào) (!) 來代表相反的結(jié)果按順序檢 查匹配列表，找到第一個(gè)匹配后就停止示

15、例： ; 192.168.0.; !/24; 訪問控制列表 (ACL)簡(jiǎn)單地說，ACL 將一個(gè)名稱分配給一個(gè)地址匹配列 表一般可以用來代替匹配列表 (允許嵌套！)最好的辦法是在 /etc/named.conf 文件的開始處定 義 ACL聲明示例acl trusted1; ;acl classroom/24; trusted; ;acl cracker/24; ;acl mymastersacl myaddresses54; ; ; 內(nèi)置 ACLBIND 預(yù)定義了四個(gè) ACLnoneany- 不匹配任何 IP 地址- 匹配所有 IP 地址localhostlocalnets匹配名稱服務(wù)器的任何

16、IP 地址匹配直接連接的網(wǎng)絡(luò)localhost 內(nèi)置 ACL 和上一頁的 myaddresses 例子 有什么區(qū)別？ (假定服務(wù)器具備多個(gè)始發(fā)地址)服務(wù)器接口選項(xiàng)：listen-on port 53 ; ;將 named 綁定到指定接口示例：listen-on port 53 myaddresses; ;listen-on-v6 port 53 :1; ;重啟并校驗(yàn)：netstat -tulpn | grep named問題：如果 listen-on 不包括 怎么辦？將 listen-on-v6 改成 : (所有的 IPv6 地址) 會(huì)對(duì) IPv4有哪些影響？默認(rèn)：如果缺少 listen-on

17、 配置，named 就會(huì)監(jiān)聽 所有接口允許查詢選項(xiàng)：allow-query ; ;服務(wù)器為匹配列表中的客戶端既提供權(quán)威答復(fù)也提供 緩存的答復(fù)示例：allow-query classroom; cracker; ;默認(rèn)：如果缺少 allow-query 配置，named 就會(huì)允 許一切查詢?cè)试S遞歸選項(xiàng)：allow-recursion ; ;服務(wù)器代表匹配列表中的客戶端來跟蹤被推薦的服務(wù) 器示例：allow-recursion classroom; !cracker; ;問題如果 1 試圖進(jìn)行遞歸查詢會(huì)發(fā)生什么情 況？如果 試圖進(jìn)行遞歸查詢會(huì)發(fā)生什么情況？默認(rèn)：如果缺少 allow-recursi

18、on 配置，named 就 會(huì)允許一切允許傳送選項(xiàng)：allow-transfer ; ;匹配列表中的客戶機(jī)可以充當(dāng)從服務(wù)器示例：allow-transfer !cracker; classroom; ;問題如果 1 試圖進(jìn)行從服務(wù)器傳送會(huì)發(fā)生什么？如果 試圖進(jìn)行從服務(wù)器傳送會(huì)發(fā)生什么？默認(rèn)：如果缺少 allow-transfer 配置，named 就會(huì)允 許一切修改 BIND 行為選項(xiàng)：forwarders ;修改器：forward first | only;讓 named 在追隨推薦的服務(wù)器之前遞歸地查詢指 定的服務(wù)器。示例：forwarders mymasters; ;forward on

19、ly;您該如何判斷 forwarders 是否必要？如果缺少 forward 修改程序，named 就會(huì)假定它 是第一個(gè)訪問控制：結(jié)合使用基本訪問控制選項(xiàng)的 /etc/named.conf 文件觀察訪問控制選項(xiàng)allow-* 選項(xiàng)指令配置文件加注釋從區(qū)塊說明示范性區(qū)塊說明讓服務(wù)器：充當(dāng) n 的權(quán)威名稱服務(wù)器。這里的 是 SOA 記錄的 domain 字段中指定的 始發(fā)地址充當(dāng)該區(qū)塊的從服務(wù)器執(zhí)行根據(jù) masters 選項(xiàng)中的主機(jī)的區(qū)塊文件傳送(AXFR 和 IXFR)將傳送到的數(shù)據(jù)保存在/var/named/chroot/var/named/slaves/.z one 文件中重載 named

20、自動(dòng)創(chuàng)建文件主區(qū)塊說明示范性區(qū)塊說明讓服務(wù)器：充當(dāng) 的權(quán)威名稱服務(wù)器。這里的 是 SOA 記錄的 domain 字段中指定的 始發(fā)地址是這個(gè)區(qū)塊的主文件從 /var/named/chroot/var/named/.zone中讀取主要數(shù)據(jù)在重載 named 前手動(dòng)創(chuàng)建主文件創(chuàng)建區(qū)塊文件區(qū)塊文件的內(nèi)容：記錄集合，從 SOA 記錄開始 符號(hào)是一個(gè)變量，代表區(qū)塊的始發(fā)地址。始發(fā)地 址在 /etc/named.conf 的 zone 說明中指定注釋使用匯編語言模式 (;)注意事項(xiàng)：若沒有使用“點(diǎn)”來終止名稱，BIND 會(huì)在這個(gè)名稱后補(bǔ) 充域的始發(fā)地址如果記錄中缺少域字段，BIND 會(huì)使用前一個(gè)記錄中的

21、值(危險(xiǎn)！如果另一個(gè)管理員改變了記錄順序怎么辦？)修改了區(qū)塊文件后，不要忘記遞增系列號(hào)碼，重載 named 服務(wù)哪個(gè) DNS 指定的解析程序使用區(qū)塊文件格式的輸出？區(qū)塊文件提示捷徑：不必從頭開始 - 復(fù)制由 caching- nameserver 軟件包 安裝的現(xiàn)有區(qū)塊文件為盡量減少打字?jǐn)?shù)量，將 $TTL 86400 放在區(qū)塊文件 的第一行，這樣可以省略單獨(dú)記錄的 TTLBIND 允許您將被包在括號(hào)內(nèi)的，有多個(gè)值的 rdata分成幾行為區(qū)塊文件選擇一個(gè)能夠反映其始發(fā)地址(來源)的文 件名測(cè)試操作選擇 dig、host 或 nslookup 中的一個(gè)，熟練地使用 它來校驗(yàn)?zāi)?DNS 服務(wù)器操作重啟服務(wù)后，在另外一個(gè) shell 中運(yùn)行 tail -f var/log/messages配置如果有語法錯(cuò)誤，BIND 就無法啟動(dòng)，因此在編輯了 配置文件后總是運(yùn)行 service named configtestc