14.3.1 BIND的主配置文件
BIND主配置文件由named进程运行时首先读取,文件名为named.conf,默认在/etc目录下。该文件只包括Bind的基本配置,并不包含任何DNS的区域数据。安装DNS服务后,安装程序不会自动生成/etc/named.conf文件,用户需要自行创建或将/usr/share/doc/bind-9.3.3/sample/etc/named.conf范本文件复制为/etc/named.conf。
named.conf配置文件由语句与注释组成,每一条主配置语句均有自己的选项参数。这些选项参数以子语句的形式组成,并包含在花括号内,作为主语句的组成部分。每一条语句,包括主语句和子语句,都必须以分号结尾。注释符号可以使用类似于C语言中的块注释“/*”和“*/”符号对,以及行注释符“//”或“#”。BIND 9支持的主配置语句及功能如表14-2所示。
表14-2 BIND 9主配置语句名称
主配置语句名称 | 功 能 |
acl | 定义一个访问控制列表,用于以后对列表中的IP进行访问控制 |
controls | 定义有关本地域名服务器操作的控制通道,这些通道被rndc用来发送控制命令 |
include | 把另一个文件中的内容包含进来做为主配置文件的内容 |
key | 定义一个密匙信息,用于通过TSIG进行授权和认证的配置中 |
logging | 设置日志服务器,以及日志信息的发送位置 |
options | 设置DNS服务器的全局配置选项 |
续表
主配置语句名称 | 功 能 |
server | 定义了与远程服务器交互的规则 |
trusted-keys | 定义信任的 DNSSED密匙 |
view | 定义一个视图 |
zone | 定义一个区域 |
1.acl语句
acl主配置语句用于定义一个命名的访问列表,里面包含了一些用IP表示的主机,这个访问列表可以在其他语句使用,表示其所定义的主机。其格式如下:
acl acl-name {
address_match_list
};
address_match_list表示IP地址或IP地址集。其中,none、any、localhost和localnets这4个内定的关键字有特别含义,分别表示没有主机、任何主机、本地网络接口IP和本地子网IP。一个具体的例子如下所示。
acl "someips" { //定义一个名为someips的ACL
10.0.0.1; 192.168.23.1; 192.168.23.15; //包含3个单个IP
};
acl "complex" { //定义一个名为complex的ACL
"someips"; //可以包含其他ACL
10.0.15.0/24; //包含10.0.15.0子网中的所有IP
!10.0.16.1/24; //非10.0.16.1子网的IP
{10.0.17.1;10.0.18.2;}; //包含了一个IP组
localhost; //本地网络接口IP(含实际接口IP和127.0.0.1)
};
zone "example.com" {
type slave;
file "slave.example.com";
allow-notify {"complex";}; //在此处使用了前面定义的complex访问列表
};
2.controls语句
controls主语句定义有关本地域名服务器操作的控制通道,这些通道被rndc用来发送控制命令。在上节的例子named.conf配置文件中有以下语句,现解释如下:
controls {
inet 127.0.0.1 port 953 //在127.0.0.1接口的953号端口进行监听
allow { 127.0.0.1; } //只接受127.0.0.1的连接,即只有在本机使用rndc
//才能对named进行控制
keys { "rndckey"; }; //使用名为rndckey的密钥才能访问
};
3.include语句
include主语句表示把另一个文件的内容包含进来,作为named.conf文件的配置内容,其效果与把那个文件的内容直接输入named.conf时一样。之所以这样做,一是为了简化一些分布式的named.conf文件的管理,此时,每个管理员只负责自己所管辖的配置内容。二是为了安全,因为可以把一些密钥放在其他文件,不让无关的人查看。
4.key语句
key主语句定义一个密匙,用于TSIG授权和认证。它主要在与其他DNS服务器或rndc工具通信时使用,可以通过运行rndc-confgen命令产生。在14.2.5小节的例子named.conf配置文件中有以下语句,现注释如下:
key "rndckey" { //定义一个密钥,名为rndckey
algorithm hmac-md5; //采用hmac-md5算法,这也是目前唯一支持的加密算法
secret "TKuaJSEo58zohJBfrdF7dQ=="; //密钥的具体数据
};
5.logging语句
logging是有关日志配置的主语句,可以有众多的子语句,指明了日志记录的位置、日志的内容、日志文件的大小和日志的级别等内容。下面是一个典型的日志语句内容。
logging{
channel simple_log { //定义一个名为simple_log的日志通道。可以定义多个通道,每
//个通道代表一种日志
file "/var/log/named/bind.log" versions 3
//该日志记录在/var/log/named/bind.log文件中,版本号为3
size 5m; //文件的大小是5MB,超过5MB时,会以bind.log.1的名字备份起来
severity warning; //高于或等于warning级别的日志才被记录
print-time yes; //日志记录包含时间域
print-severity yes; //日志记录包含日志级别域
print-category yes; //日志记录包含日志分类域
};
category default{ //所有的分类都记录到simple_log日志通道中
simple_log;
};
};
6.options语句
options语句设定可以被整个BIND使用的全局选项。这个语句在每个配置文件中只有一处,如果出现多个options语句,则第一个options的配置有效,并且会产生一个警告信息。如果没有options语句,每个子语句使用默认值。options选项的子语句很多,下面先解释一下在14.2.3小节的例子主配置文件中出现的子语句。
q directory:指定服务器的工作目录。配置文件其他语句中所使用的相对路径,指的都是在这个子语句指定的目录下。大多数的输出文件默认时也生成在这个目录下。如果没有设定,工作目录默认设置为服务器启动时的目录。指定目录时,应该以绝对路径表示。
q pid-file:设定进程PID文件的路径名,如果没有指定,默认为/var/run/named.pid。因此,此时要注意运行进程的用户named对该目录要有写入的权限,否则,named将不能正常启动。pid-file 是给那些需要向运行着的服务器发送信号的程序使 用的。
q forwarders:设定转发使用的IP地址。该子语句只有在forward设置成允许转发后才生效,默认的列表是空的,表示不转发。转发也可以设置在每个域中,这样全局选项中的转发设置就不会起作用了。用户可以将不同的域转发到不同的其他DNS服务器上,或者对不同的域实现forward only或first的不同方式,也可以选择根本就不转发。
q allow-query:主语句用于设定DNS服务器为哪些客户机提供DNS查询服务,可以在后面的花括号内放置命名的ACL或address_match_list,any表示任何主机都可以访问。allow-query也能在zone语句中设定,这样全局options中的allow-query选项在zone中就不起作用了。默认时是允许所有主机进行查询。
7.server语句
server主语句定义了与远程服务器交互的规则,例如,决定本地DNS服务器是作为主域名服务器还是辅域名服务器,以及与其他DNS服务器通信时采用的密钥等。语句可以出现在配置文件的顶层,也可以出现在视图语句的内部。如果一个视图语句包括了自己的server语句,则只有那些视图语句内的server语句才起作用,顶层的server语句将被忽略。如果一个视图语句内不包括server语句,则顶层server语句将被当做默认值。
8.trusted-keys语句
trusted-keys语句定义DNSSEC安全根的trusted-keys。DNSSEC指由RFC2535定义的DNS sercurity。当一个非授权域的公钥是已知的,但不能安全地从DNS服务器获取时,需要加入一个trusted-keys。这种情况一般出现在singed域是一个非signed域的子域的时候,此时加了trusted key后被认为是安全的。trusted-keys语句能包含多重输入口,由键的域名、标志、协议算法和64位键数据组成。
9.view语句
view语句定义了视图功能。视图是BIND 9提供的强大的新功能,允许DNS服务器根据客户端的不同有区别地回答DNS查询,每个视图定义了一个被特定客户端子集见到的DNS名称空间。这个功能在一台主机上运行多个形式上独立的DNS服务器时特别有用。
10.zone语句
zone语句定义了DNS服务器所管理的区,也就是哪一些域的域名是授权给该DNS服务器回答的。一共有5种类型的区,由其type子语句指定,具体名称和功能如下所示。
q Master(主域):主域用来保存某个区域(如www.wzvtc.cn)的数据信息。
q Slave(辅域):也叫次级域,数据来自主域,起备份作用。
q Stub:Stub区与辅域相似,但它只复制主域的NS记录,而不是整个区数据。它不是标准DNS的功能,只是BIND提供的功能。
q Forward(转发):转发域中一般配置了 forward和forwarders子句,用于把对该域的查询请求转由其他DNS服务器处理。
q Hint:Hint域定义了一套最新的根DNS服务器地址,如果没有定义,DNS服务器会使用内建的根DNS服务器地址。
在14.2.3小节的例子named.conf配置文件中有以下语句,现解释如下:
zone "." IN { //定义一个名为“.”的区,查询类为IN
type hint; //类型为hint
file "named.root"; //区文件是named.root
};
zone "0.0.127.in-addr.arpa" IN { //定义一个名为0.0.127.in-addr.arpa的区,
//查询类为IN
type master; //类型为master
file "named.local"; //区文件是named.local
allow-update { none; }; //不允许任何客户端对数据进行更新
};
zone "wzvtc.cn" IN { //定义一个名为wzvtc.cn的区,查询类为IN
type master; //类型为master
file "named.wzvtc.cn"; //区文件是named.wzvtc.cn
allow-update { none; }; //不允许任何客户端对数据进行更新
};
zone "1.10.10.in-addr.arpa" IN {
//定义一个名为1.10.10.in-addr.arpa的区,查询类为IN
type master; //类型为master
file "named.1.10.10"; //区文件是named.1.10.10
allow-update { none; }; //不允许任何客户端对数据进行更新
};
%说明:在每一个zone语句中,都用file子语句定义一个区文件,这个文件里存放了域名与IP地址的对应关系。14.3.3节将对区文件进行详细解释。