Raymond的博客

【代码】第十六章 域名系统DNS服务 -- 实现Internet的DNS服务架构。

GSLB：Global Server Load Balance全局服务器负载均衡GSLB是对服务器和链路进行综合判断来决定由哪个地点的服务器来提供服务，实现异地服务器群服务质量的保证GSLB主要的目的是在整个网络范围内将用户的请求定向到最近的节点（或者区域）GSLB分为基于DNS实现、基于重定向实现、基于路由协议实现，其中最通用的是基于DNS解析方式范例：查询VIP使用的CDN服务。

利用DNS转发，可以将用户的DNS请求，转发至指定的DNS服务，而非默认的根DNS服务器，并将指定服务器查询的返回结果进行缓存，提高效率。

反向区域：即将IP反向解析为FQDN区域名称：网络地址反写.in-addr.arpa.(1) 定义区域(2) 定义区域解析库文件注意：不需要MX,以PTR记录为主。

type slave;#搭建从节点#注释下面两行type slave;;;;;;;;;;;;udp: 1232;;;;;;;;;;;;;;;;;#主节点挂了，自动走从节点$TTL 1D1;serial2H;refresh10M;retry1W;expire1D );minimumNS ns1#主节点文件发生变化total 4#从节点文件还是没有变化$TTL 1D2;serial。

范例：区域数据库范例：抓包观察查询过程。

DNS服务器软件：bind，unbound，powerdns，dnsmasq，coredns。

TTL可从全局继承使用 “@” 符号可用于引用当前区域的名字同一个名字可以通过多条记录定义多个不同的值；此时DNS服务器会以轮询方式响应同一个值也可能有多个不同的定义名字；通过多个不同的名字指向同一个值进行定义；此仅表示通过多个不同的名字可以找到同一个主机1 . 我的网站域名需要更改，如何使其更快的生效？2 . 更改TTL值为多少比较合适呢？是如何生效的？

当前TCP/IP网络中的设备之间进行通信，是利用和依赖于IP地址实现的。但数字形式的IP地址是很难记忆的。当网络设备众多，想要记住每个设备的IP地址，可以说是“不可能完成的任务”。那么如何解决这一难题呢？我们可以给每个网络设备起一个友好的名称，如：www.google.com，这种由文字组成的名称，显而易见要更容易记忆。但是计算机不会理解这种名称的，我们可以利用一种名字解析服务将名称转化成（解析）成IP地址。从而我们就可以利用名称来直接访问网络中设备了。

root@centos7 ~ ] # cat /etc/cobbler/users.digest cobbler:Cobbler:a2d6bae81669d707b72c0bd9806e01f3 [ root@centos7 ~ ] # htdigest -c /etc/cobbler/users.digest Cobbler admin #-c 会覆盖创建 Adding password for admin in realm Cobbler.

该行的定义在文件 /var/www/cobbler/ks_mirror/config/centos8-x86_64.repo中。重启同步后cobbler更新文件/var/lib/tftpboot/pxelinux.cfg/default。cobbler将系统yum源文件存放在 /var/www/cobbler/ks_mirror目录下。拷贝事先准备好的ks文件至/var/lib/cobbler/kickstarts目录下。用浏览器访问：https://cobblerserver/cobbler_web。

PXE：Preboot Excution Environment，预启动执行环境，是由Intel公司研发，基于Client/Server的网络模式，支持远程主机通过网络从远端服务器下载映像，并由此支持通过网络启动操作系统，可以引导和安装Windows，linux等多种操作系统。

TFTP：Trivial File Transfer Protocol ，是一种用于传输文件的简单高级协议，是文件传输协议（FTP）的简化版本。用来传输比文件传输协议（FTP）更易于使用但功能较少的文件。

实现自动安装前，需要制作对应的安装应答文件，称为kickstart文件，用于保存安装过程需要指定的选项。

安装光盘的启动菜单配置文件：isolinux/isolinux.cfg中设置相关的内核加载参数，实现不同的安装过程。​ ip=ip::gateway:netmask:hostname:interface:none 静态IP。anaconda是Linux系统安装程序,可以提供两种风格的安装界面。​ ip=interface:method 指定特定接口。在系统光盘的isolinux目录下有和安装相关的文件。​ ip=method，method 可以为dhcp。tui: 基于图形库curses的文本窗口。

更快的同步只需要数分钟而非数小时时间，从而最大程度减少了时间和频率误差，对于并非全天24 小时运行的虚拟计算机而言非常有用能够更好地响应时钟频率的快速变化，对于具备不稳定时钟的虚拟机或导致时钟频率发生变化的节能技术而言非常有用在初始同步后，它不会停止时钟，以防对需要系统时间保持单调的应用程序造成影响在应对临时非对称延迟时（例如，在大规模下载造成链接饱和时）提供了更好的稳定性无需对服务器进行定期轮询，因此具备间歇性网络连接的系统仍然可以快速同步时钟。

认证库：文本文件，MySQL，NIS，LDAP等PAM：Pluggable Authentication Modules，插件式的验证模块，Sun公司于1995 年开发的一种与认证相关的通用框架机制。PAM 只关注如何为服务验证用户的 API，通过提供一些动态链接库和一套统一的API，将系统提供的服务和该服务的认证方式分开，使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序一种认证框架，自身不做认证。

sudo 即superuser do，允许系统管理员让普通用户执行一些或者全部的root命令的一个工具，如halt，reboot，su等等。这样不仅减少了root用户的登录 和管理时间，同样也提高了安全性在最早之前，一般用户管理系统的方式是利用su切换为超级用户。但是使用su的缺点之一在于必须要先告知超级用户的密码。sudo于1980年前后推出，sudo使一般用户不需要知道超级用户的密码即可获得权限。

sshpass的出现，解决了这一问题。sshpass用于非交互SSH的密码验证，一般用在sh脚本中，无须再次输入密码（本机known_hosts文件中有的主机才能生效）。rsync工具可以基于ssh和rsync协议实现高效率的远程系统之间复制文件，使用安全的shell连接做为传输方式，比scp更快，基于增量数据同步，即只复制两方不同的文件，此工具来自于rsync包。基于口令认证时，使用强密码策略，比如：tr -dc A-Za-z0-9_ < /dev/urandom | head -c 12|xargs。

ssh服务登录的常用验证方式用户/口令基于密钥基于用户和口令登录验证客户端发起ssh请求，服务器会把自己的公钥发送给用户用户会根据服务器发来的公钥对密码进行加密加密后的信息回传给服务器，服务器用自己的私钥解密，如果密码正确，则用户登录成功基于密钥的登录方式首先在客户端生成一对密钥（ssh-keygen）并将客户端的公钥ssh-copy-id 拷贝到服务端当客户端再次发送一个连接请求，包括ip、用户名。

index.txt和serial文件在颁发证书时需要使用，如果不存在，会出现以下错误提示。默认有三项内容必须和CA一致：国家，省份，组织，如果不同，会出现下面的提示。默认生成的证书，在windows上是不被信任的，可以通过下面的操作实现信任。指定第一个吊销证书的编号,注意：第一次更新证书吊销列表前，才需要执行。match：要求申请填写的信息跟CA设置信息必须一致。注意：默认要求 国家，省，公司名称三项必须和CA一致。2、为需要使用证书的主机生成证书申请文件。打开internet属性。

官网：https://www.openssl.org/OpenSSL计划在1998年开始，其目标是发明一套自由的加密工具，在互联网上使用。OpenSSL以EricYoung以及Tim Hudson两人开发的SSLeay为基础，随着两人前往RSA公司任职，SSLeay在1998年12月停止开发。因此在1998年12月，社群另外分支出OpenSSL，继续开发下去OpenSSL管理委员会当前由7人组成有13个开发人员具有提交权限（其中许多人也是OpenSSL管理委员会的一部分）。

1994年，NetScape公司设计了SSL协议（Secure Sockets Layer）的1.0版，但是未发布1995：SSL 2.0 Netscape 开发2006：TLS 1.1 IETF(Internet工程任务组) RFC 4346，从2020年3月起，停止支持TLS 1.1及TLS 1.0版本安全协议，谷歌（Chrome）、Mozilla（Firefox）、微软（IE和Edge） 、苹果（Safari） 都会发布新版浏览器执行这个策略2008：TLS 1.2 当前主要使用机密性。

非对称加密：密钥是成对出现公钥：public key，公开给所有人，主要给别人加密使用私钥：secret key，private key 自己留存，必须保证其私密性，用于自已加密签名特点：用公钥加密数据，只能使用与之配对的私钥解密；反之亦然数据加密：适合加密较小数据,比如: 加密对称密钥数字签名：主要在于让接收方确认发送方身份密钥长,算法复杂加密解密效率低下RSA：由 RSA 公司发明，是一个支持变长密钥的公共密钥算法，需要加密的文件块的长度也是可变的,可实现加密和数字签名。

next 可以提前结束对本行处理而直接进入下一行处理（awk自身循环）范例：6.14 数组awk的数组为关联数组格式范例:index-expression范例：范例:范例：判断数组索引是否存在若要遍历数组中的每个元素，要使用for循环注意：var会遍历array的每个索引范例：遍历数组范例：显示主机的连接状态出现的次数范例：范例：封掉查看访问日志中连接次数超过1000次的IP范例：多维数组6.15 awk函数awk 的函数分为内置和自定义函数官方文档6.15.1 常见内置函数

PATTERN:根据pattern条件，过滤匹配的行，再做处理。BEGIN{}：仅在开始处理文件中的文本之前执行一次。/pat1/,/pat2/ 不支持直接给出数字格式。使用场景：对awk取得的整行或某个字段做条件判断。条件“真”，进入循环；条件“假”，退出循环。END{}：仅在文本处理完成之后执行一次。​ 对一行内的多个字段逐一类似处理时使用。​ 对数组中的各元素逐一处理时使用。意义：无论真假，至少执行一次循环体。特殊用法：能够遍历数组中的元素。真：结果为非0值，非空字符串。假：结果为空字符串或0值。

字符串操作符：没有符号的操作符，字符串连接。printf 可以实现格式化输出。格式符：与item一一对应。条件表达式（三目表达式）

范例：每十分钟检查将连接数超过100个以上的IP放入黑名单拒绝访问。范例：取ifconfig输出结果中的IP地址。awk中的变量分为：内置和自定义变量。面试题：连接数最多的前3个IP。自定义变量(区分字符大小写)

awk：Aho, Weinberger, Kernighan，报告生成器，格式化文本输出，GNU/Linux发布的AWK目前由自由软件基金会（FSF）进行开发和维护，通常也称它为 GNU AWKgawk：模式扫描和处理语言，可以实现下面功能说明：program通常是被放在单引号中，并可以由三种部分组成pattern：决定动作语句何时触发及触发事件，比如：BEGIN,END,正则表达式等action statements：对数据进行处理，放在{}内指明，常见：print, printf。

firewalld是CentOS 7.0新推出的管理netfilter的用户空间软件工具,也被ubuntu所支持(apt installfirewalld安装即可)firewalld是配置和监控防火墙规则的系统守护进程。可以实iptables,ip6tables,ebtables的功能firewalld服务由firewalld包提供firewalld支持划分区域zone,每个zone可以设置独立的防火墙规则网卡默认属于public zone,lo网络接口属于trusted zone。

REDIRECT，是NAT表的 target，通过改变目标IP和端口，将接受的包转发至同一个主机的不同端口，可用于PREROUTING OUTPUT链。DNAT：nat表的target，适用于端口映射，即可重定向到本机，也可以支持重定向至不同主机的不同端口，但不支持多目标，即不支持负载均衡功能。MASQUERADE：基于nat表的target，适用于动态的公网IP，如：拨号网络。范例：针对内部的特定服务可以允许外部访问，其它服务禁止访问。SNAT：基于nat表的target，适用于固定的公网IP。

disabled;^C^C^C^C。

iptables 在使用-p选项指明了特定的协议时，无需再用-m选项指明扩展模块的扩展机制，不需要手动加载扩展模块。​ 跟踪模块路径： /lib/modules/kernelversion/kernel/net/netfilter。] --syn：用于匹配第一次握手, 相当于：–tcp-flags SYN,ACK,FIN,RST SYN。扩展匹配条件：需要加载扩展模块（/usr/lib64/xtables/*.so），方可生效。显示扩展即必须使用-m选项指明要调用的扩展模块名称，需要手动加载扩展模块。

规则rule：根据规则的匹配条件尝试匹配报文，对匹配成功的报文根据规则定义的处理动作作出处理，规则在链接上的次序即为其检查时的生效次序匹配条件：默认为与条件，同时满足基本匹配：IP，端口，TCP的Flags（SYN,ACK等）扩展匹配：通过复杂高级功能匹配处理动作：称为target，跳转目标规则要添加在链上，才生效；添加在自定义链上不会自动生效。

由软件包iptables提供的命令行工具，工作在用户空间，用来编写规则，写好的规则被送往netfilter，告诉内核如何去处理信息包|/ Err?范例：安装iptables的service包。

设置内核参数，只影响当次启动启动时，到启动菜单，按e键，找到在linux 开头的行后添加systemd.unit=desired.target比如：systemd.unit=emergency.target 或 systemd.unit=rescue.target。

Systemd：从 CentOS 7 版本之后开始用 systemd 实现init进程，系统启动和服务器守护进程管理器，负责在系统启动或运行时，激活系统资源，服务器进程和其它进程systemd 核心概念：unitunit表示不同类型的systemd对象，通过配置文件进行标识和配置；文件中主要包含了系统服务、监听socket、保存的系统快照以及其它与init相关的信息unit的配置文件。

sys目录：使用sysfs文件系统，为用户使用的伪文件系统，输出内核识别出的各硬件设备的相关属性信息，也有内核对硬件特性的设定信息；有些参数是可以修改的，用于调整硬件工作特性udev通过此路径下输出的信息动态为各设备创建所需要设备文件，udev是运行用户空间程序专用工具：udevadmin, hotplugudev为设备创建设备文件时，会读取其事先定义好的规则文件，一般在/etc/udev/rules.d及/usr/lib/udev/rules.d目录下。

proc目录：内核把自己内部状态信息及统计信息，以及可配置参数通过proc伪文件系统加以输出。(2) 通过读取配置文件设置参数。/proc/sys 设置。(3) 查看所有生效参数。帮助：man proc。(1) 临时设置某参数。

sbin/init --> (/etc/inittab) --> 设置默认运行级别 --> 运行系统初始脚本/etc/rc.d/rc.sysinit、完成系统初始化 -->(关闭对应下需要关闭的服务)启动需要启动服务/etc/rc#.d/Sxxxx,/etc/rc.d/rc.local–> 设置登录终端参看：http://s4.51cto.com/wyfs02/M02/87/20/wKiom1fVBELjXsvaAAUkuL83t2Q304.jpg。