DNS远程更新
##########DNS远程更新########
1.服务端:
1.先查看getenforce状态,如果是disable就可以直接做
2.如果是Enforcing状态
先查看named_write_master_zones是否开启
没有开启先打开
getsebool -a | grep named
setsebool -P named_write_master_zones on
3.先将/var/named/westos.com.zone备份一下
cp -p /var/named/westos.com.zone /mnt
4.给/var/named/ 一个 770 的权限 ## chmod 770 /var/named
5.开启辅助更新:配置/etc/named.rfc1912.zones
allow-update { 172.25.254.88; };
6.重启服务
2. 测试端:
1.nsupdate
2.server 172.25.254.10 ##更新的服务端的ip
3.update add test.westos.com 86440 A 172.25.254.122 ##添加一个test ip为122
4.send
5.quit
3. 这时测试:dig test.westos.com 可以查看到它的存在,且ip为122
4. 在服务端可以看到westos.com.zone. jnl 这不是文件,是数据
5. 在服务端更新服务后就可以看到westos.com.zone内容更改
##########DNS远程更新########
1.服务端:
1.先查看getenforce状态,如果是disable就可以直接做
2.如果是Enforcing状态
先查看named_write_master_zones是否开启
没有开启先打开
getsebool -a | grep named
setsebool -P named_write_master_zones on
3.先将/var/named/westos.com.zone备份一下
cp -p /var/named/westos.com.zone /mnt
4.给/var/named/ 一个 770 的权限 ## chmod 770 /var/named
5.开启辅助更新:配置/etc/named.rfc1912.zones
allow-update { 172.25.254.88; };
6.重启服务
2. 测试端:
1.nsupdate
2.server 172.25.254.10 ##更新的服务端的ip
3.update add test.westos.com 86440 A 172.25.254.122 ##添加一个test ip为122
4.send
5.quit
3. 这时测试:dig test.westos.com 可以查看到它的存在,且ip为122
4. 在服务端可以看到westos.com.zone. jnl 这不是文件,是数据
5. 在服务端更新服务后就可以看到westos.com.zone内容更改
DNS远程更新的加密
#########DNS远程更新的加密#######
1.在服务端生成密钥之前,要先确保/var/name/文件为最开始的文件,把mingzi.com.zone. jnl,加入test.westos.com的westos.com.zone删掉,恢复之前的westos.com.zone
cp -p /mnt/westos.com.zone /var/named/
2.在服务端生成密钥 :dnssec-keygen -a HMAC-MD5 -b 100 -n HOST westoskey
3.查看私钥
4.生成一个/etc/westos.key : cp -p /etc/rndc.key /etc/westos.key
5.将查看到的私钥复制到/etc/westos.key中
key "westoskey" {
algorithm hmac-md5;
secret "oZekl+ZjvrP3vtQAV5rW6w=="; ##写入公钥或者私钥的内容
};
6. vim /etc/named.conf ##将westos.key加入到配置文件里
加入41 include "/etc/westos.key";
7. vim /etc/named.rfc1912.zones ##允许钥匙更新
zone "westos.com" IN {
type master;
file "westos.com.zone";
allow-update { key westoskey; };
allow-transfer { 172.25.254.88; };
also-notify { 172.25.254.88; };
};
8. systemctl restart named ##重启服务
9. scp Kwestoskey.+157+60201.* root@172.25.254.88:/mnt/ ##将钥匙给172.25.254.88的/mnt目录
10.测试:
在server虚拟机实验
cd /mnt
ls
nsupdata -k Kwestoskey.+157+60201.key
server 172.25.254.106
update delete www.westos.com
send
quit
#########DNS远程更新的加密#######
1.在服务端生成密钥之前,要先确保/var/name/文件为最开始的文件,把mingzi.com.zone. jnl,加入test.westos.com的westos.com.zone删掉,恢复之前的westos.com.zone
cp -p /mnt/westos.com.zone /var/named/
2.在服务端生成密钥 :dnssec-keygen -a HMAC-MD5 -b 100 -n HOST westoskey
3.查看私钥
4.生成一个/etc/westos.key : cp -p /etc/rndc.key /etc/westos.key
5.将查看到的私钥复制到/etc/westos.key中
key "westoskey" {
algorithm hmac-md5;
secret "oZekl+ZjvrP3vtQAV5rW6w=="; ##写入公钥或者私钥的内容
};
6. vim /etc/named.conf ##将westos.key加入到配置文件里
加入42 include "/etc/westos.key";
7. vim /etc/named.rfc1912.zones ##允许钥匙更新
zone "westos.com" IN {
type master;
file "westos.com.zone";
allow-update { key westoskey; };
allow-transfer { 172.25.254.88; };
also-notify { 172.25.254.88; };
};
8. systemctl restart named ##重启服务
9. scp Kwestoskey.+157+60201.* root@172.25.254.88:/mnt/ ##将钥匙给172.25.254.88的/mnt目录
10.测试:
在server虚拟机实验
cd /mnt
ls
nsupdata -k Kwestoskey.+157+60201.key
server 172.25.254.106
update delete www.westos.com
send
quit