2021-10-05 linux学习-部署(十二) 之Bind服务程序

最新推荐文章于 2024-02-04 23:22:13 发布
最新推荐文章于 2024-02-04 23:22:13 发布
阅读量1.1k 收藏 6
点赞数 1
分类专栏: linux学习-部署 文章标签: redhat dns服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/x629242/article/details/120619106
版权

Bind服务程序

BIND(Berkeley Internet Name Domain,伯克利因特网名称域)服务是全球范围内使用最广泛、最安全可靠且高效的域名解析服务程序。

1 安装Bind

dnf install -y bind-chroot

在bind服务程序中有下面这3个比较关键的文件

主配置文件(/etc/named.conf):只有59行,而且在去除注释信息和空行之后,实际有效的参数仅有30行左右,这些参数用来定义bind服务程序的运行。

区域配置文件(/etc/named.rfc1912.zones):用来保存域名和IP地址对应关系的所在位置。类似于图书的目录,对应着每个域和相应IP地址所在的具体位置,当需要查看或修改时,可根据这个位置找到相关文件。

数据配置文件目录(/var/named):该目录用来保存域名和IP地址真实对应关系的数据配置文件。

实验一 部署主服务器-正向解析

1 配置主配置文件

把第11行和第19行的地址均修改为any

vim /etc/named.conf
 11         listen-on port 53 { any; };
 19         allow-query     { any; };

2 编辑区域配置文件

vim /etc/named.rfc1912.zones
zone "linuxprobe.com" IN {
        type master;
        file "linuxprobe.com.zone";
        allow-update {none;};
};

3 编辑数据配置文件

cd /var/named/

cp -a named.localhost linuxprobe.com.zone

vim linuxprobe.com.zone
$TTL 1D
@       IN SOA  linuxprobe.com.  root.linuxprobe.com. (
                                        0       ; serial
                                        1D      ; refresh
                                        1H      ; retry
                                        1W      ; expire
                                        3H )    ; minimum
        NS      ns.linuxprobe.com.
www      IN A    192.168.0.10
ns       IN A    192.168.0.10

重启服务

systemctl restart named
systemctl enable named
​

域名解析记录类型

记录类型    	作用
A	    将域名指向一个IPV4地址
CNAME	将域名指向另外一个域名
AAAA	将域名指向一个IPV6地址
NS	    将子域名指定其他DNS服务器解析
MX	    将域名指向邮件服务器地址
SRV	    记录提供特定的服务的服务器
TXT	    文本内容一般为512字节,常作为反垃圾邮件的SPF记录
CAA	    CA证书办法机构授权校验
显性URL	将域名重定向到另外一个地址
隐性URL	与显性URL类型,但是会隐藏真实目标地址

4 把Linux系统网卡中的DNS地址参数修改成本机IP地址

vim /etc/sysconfig/network-scripts/ifcfg-ens160
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=none
DEFROUTE=yes
IPV4_FAILURE_FATAL=yes
IPV6INIT=no
IPV6_AUTOCONF="yes"
IPV6_DEFROUTE="yes"
IPV6_FAILURE_FATAL="no"
IPV6_ADDR_GEN_MODE="stable-privacy"
NAME=ens160
UUID=3dd9f146-20f3-4cb6-bb4e-288b23dfd7c0
DEVICE=ens160
ONBOOT=yes
IPADDR=192.168.0.10
PREFIX=24
DNS1=192.168.0.10

重启网卡

nmcli connection up ens160

5 检验解析结果

nslookup
> www.linuxprobe.com
Server:		192.168.0.10
Address:	192.168.0.10#53

Name:	www.linuxprobe.com
Address: 192.168.0.10

实验二 部署主服务器-反向解析

编辑区域配置文件

vim /etc/named.rfc1912.zones
zone "linuxprobe.com" IN {
        type master;
        file "linuxprobe.com.zone";
        allow-update {none;};
};
zone "0.168.192.in-addr.arpa" IN {
        type master;
        file "192.168.0.arpa";
        allow-update {none;};
};

2 编辑数据配置文件

cd /var/named
cp -a named.loopback 192.168.0.arpa
vim 192.168.0.arpa

$TTL 1D
@       IN SOA  linuxprobe.com. root.linuxprobe.com. (
                                        0       ; serial
                                        1D      ; refresh
                                        1H      ; retry
                                        1W      ; expire
                                        3H )    ; minimum
        NS      ns.linuxprobe.com.
ns      A       192.168.0.10
10      PTR     ns.linuxprobe.com.
10      PTR     www.linuxprobe.com.
20      PTR     bbs.linuxprobe.com.

重启服务

systemctl restart named
systemctl enable named

3 检验解析结果

nslookup
> 192.168.0.10
10.0.168.192.in-addr.arpa	name = www.linuxprobe.com.
10.0.168.192.in-addr.arpa	name = ns.linuxprobe.com.
> 192.168.0.20 
20.0.168.192.in-addr.arpa	name = bbs.linuxprobe.com.

实验三 部署从服务器

1 在主服务器的区域配置文件中允许该从服务器的更新请求

vim /etc/named.rfc1912.zones
zone "linuxprobe.com" IN {
        type master;
        file "linuxprobe.com.zone";
        allow-update { 192.168.0.20;};
};
zone "0.168.192.in-addr.arpa" IN {
        type master;
        file "192.168.10.arpa";
        allow-update { 192.168.0.20;};
};

2 在主服务器上配置防火墙放行规则

firewall-cmd --permanent --zone=public --add-service=dns
firewall-cmd --reload

3 在从服务器上安装bind-chroot软件包,修改配置文件

dnf install -y bind-chroot
vim /etc/named.conf
11         listen-on port 53 { any; };
19         allow-query     { any; };

4 在从服务器中填写主服务器的IP地址与要抓取的区域信息

vim /etc/named.rfc1912.zones
zone "linuxprobe.com" IN {
        type slave;
        masters { 192.168.0.10; };
        file "slaves/linuxprobe.com.zone";
};
zone "0.168.192.in-addr.arpa" IN {
        type slave;
        masters { 192.168.0.10; };
        file "slaves/192.168.0.arpa";
};

重启服务

systemctl restart named
systemctl enable named

5 把Linux系统网卡中的DNS地址参数修改成本机IP地址

vim /etc/sysconfig/network-scripts/ifcfg-ens160
YPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=none
DEFROUTE=yes
IPV4_FAILURE_FATAL=yes
IPV6INIT=no
IPV6_AUTOCONF="yes"
IPV6_DEFROUTE="yes"
IPV6_FAILURE_FATAL="no"
IPV6_ADDR_GEN_MODE="stable-privacy"
NAME=ens160
UUID=f09352c6-b108-4b18-9847-8edfe72f0712
DEVICE=ens160
ONBOOT=yes
IPADDR=192.168.0.20
PREFIX=24
DNS1=192.168.0.20

6 检验解析结果

nslookup
> www.linuxprobe.com
Server:		192.168.0.20
Address:	192.168.0.20#53

Name:	www.linuxprobe.com
Address: 192.168.0.10
> 192.168.0.10
10.0.168.192.in-addr.arpa	name = www.linuxprobe.com.
10.0.168.192.in-addr.arpa	name = ns.linuxprobe.com.

实验四 安全的加密传输

互联网中的绝大多数DNS服务器(超过95%)都是基于BIND域名解析服务搭建的,而bind服务程序为了提供安全的解析服务,已经对TSIG(见RFC 2845)加密机制提供了支持。TSIG主要是利用了密码编码的方式来保护区域信息的传输(Zone Transfer),即TSIG加密机制保证了DNS服务器之间传输域名区域信息的安全性。

实验开始之前的准备

rm -rf /var/named/slaves/*

1 在主服务器中生成密钥

dnssec-keygen命令用于生成安全的DNS服务密钥,其格式为 dnssec-keygen [参数]

dnssec-keygen命令的常用参数

参数	    作用
-a	    指定加密算法,包括RSAMD5(RSA)、RSASHA1、DSA、NSEC3RSASHA1、NSEC3DSA等
-b	    密钥长度(HMAC-MD5的密钥长度在1~512位之间)
-n	    密钥的类型(HOST表示与主机相关)

开始

dnssec-keygen -a HMAC-MD5 -b 128 -n HOST master-slave
cat Kmaster-slave.+157+41506.private | grep Key

记下key

Key: auVjxNxo7UzJBHl7krQu8Q==

2 在主服务器中创建密钥验证文件

cd /var/named/chroot/etc/
vim transfer.key
key "master-slave" {
        algorithm hmac-md5;
        secret "auVjxNxo7UzJBHl7krQu8Q==";
};

修改权限,设置硬链接

chown root:named transfer.key
chmod 640 transfer.key
ln transfer.key /etc/transfer.key

3 开启并加载bind服务的密钥验证功能

在主服务器的主配置文件中加载密钥验证文件

vim /etc/named.conf
9 include "/etc/transfer.key";
20         allow-transfer { key master-slave; };

重启服务

systemctl restart named
systemctl enable named

清空从服务器同步目录中所有的数据配置文件,重启服务

rm -rf /var/named/slaves/*
systemctl restart named

4 配置从服务器,使其支持密钥验证

cd /var/named/chroot/etc/
vim transfer.key
key "master-slave" {
        algorithm hmac-md5;
        secret "auVjxNxo7UzJBHl7krQu8Q==";
};

修改权限,设置硬链接

chown root:named transfer.key
chmod 640 transfer.key
ln transfer.key /etc/transfer.key

5 开启并加载从服务器的密钥验证功能

vim /etc/named.conf
9 include "/etc/transfer.key";
51 server 192.168.0.10
52 {
53         keys { master-slave; };
54 };

重启服务

systemctl restart named

6 解析验证

nslookup
> www.linuxprobe.com
Server:		192.168.0.20
Address:	192.168.0.20#53

Name:	www.linuxprobe.com
Address: 192.168.0.10
> 192.168.0.10
10.0.168.192.in-addr.arpa	name = www.linuxprobe.com.
10.0.168.192.in-addr.arpa	name = ns.linuxprobe.com.
>

鹅一只
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Linux运维-4.服务管理-尚硅谷网络服务视频课程目录.zip
11-02
Linux中,服务(Service)是指后台运行的程序,它们通常在系统启动时自动启动,并在后台持续运行,为其他程序或用户提供服务。Linux提供了多种服务管理工具,如System V init、Upstart和Systemd等。 二、System V...
LINUX学习第十五课
hnxzsk的博客
06-01 252
一、安全的加密传输 前文反复提及,域名解析服务是互联网基础设施中重要的一环,几乎所有的网络应用都依赖于DNS才能正常运行。如果DNS服务发生故障,那么即便Web网站或电子邮件系统服务等都正常运行,用户也无法找到并使用它们了。 互联网中的绝大多数DNS服务器(超过95%)都是基于BIND域名解析服务搭建的,而bind服务程序为了提供安全的解析服务,已经对TSIG(RFC 2845)加密机制提供了支持。TSIG主要是利用了密码编码的方式来保护区域信息的传输(Zone Transfer),即TSIG加密机制保证了
dns bind 配置, 比较全的
miaomiaodmiaomiao的专栏
04-07 1425
这年头,搞个智能DNS还是很简单的,理论知识就不说了,这里把实战的步骤罗列一下,以期能对你有帮助。 1、测试机器规划 角色 操作系统 Ip地址 内存 Master Ubuntu 13.10 10.32.240.18/23 2G Slave Ubuntu 13.10 10.32.240.71/23
Linux虚拟机下bind域名服务器安装与使用(详细)
ChengGuo521的博客
12-07 5700
1. 简述 1.1 关于域名解析服务 DNS域名解析服务是用于解析域名和IP地址对应关系的服务,可以实现正反向解析的功能 正向解析:根据域名(主机名)去查找对应的IP 反向解析 :根据IP查找对应的域名(主机名) 1.2 关于DNS服务协议 DNS服务协议采用层次结构来记录域名和IP的的映射对应关系,从而形成一个分布式的数据库系统,即DNS结构模型 1.3 关于DNS服务器的工作形式 由于DNS服务器有着巨大的用户需求,所以在工作形式上又分为主服务器、从服务器和缓存服务器 ..
Linux学习笔记--21(使用Bind提供域名解析服务 2)
oracle_drower的博客
05-21 603
安全的加密传输 互联网中大多数DNS服务器都是基于BIND域名解析服务搭建的,而bind服务程序为了提供安全的解析服务,已经对TSIG(RFC 2845)加密机制提提了支持。 TSIG主要是利用密码编码的方式来保护区域信息的传输(Zone Transfer),即保证了DNS服务器之间传输域名区域信息的安全性。 查看下从服务器的同步情况。 因为是接着之前部署从服务器的,所以从服务器还有同步,进行删除。 [root@linuxcool slaves]# ls 192.168.153.arpa linuxpro
dnssec-keygen(1M)
weixin_34146805的博客
05-24 621
名称 dnssec-keygen - DNSSEC 密钥生成工具 用法概要 dnssec-keygen -a algorithm -b keysize -n nametype [-ehk] [-c class] [-f flag] [-g generator] [-p protocol] [-r randomdev] [-s strength] [-t type]...
Linux/CentOS上配置 DNS服务器(使用Bind提供域名解析服务)
qq_42779175的博客
12-25 780
DNS域名解析服务 相较于由数字构成的IP地址,域名更容易被理解和记忆,所以我们通常更习惯通过域名的方式来 访问网络中的资源。但是,网络中的计算机之间只能基于IP地址来相互识别对方的身份,而且要想在互联网中传输数据,也必须基于外网的IP地址来完成。 为了降低用户访问网络资源的门槛,DNS(Domain Name System,域名系统)技术应运而生。这是一项用于管理和解析域名与IP地址对应关系的技...
服务器简单搭建-后端项目部署需要安装的应用-JAVA
11-10
对于初学者或有一定服务器基础的人来说,了解如何在Ubuntu系统上安装必要的应用程序是非常有用的。以下是一个详细步骤的指导,帮助你完成从JDK安装到MySQL和Redis的配置,以便能够成功部署Java项目。 首先,我们从...
一份详细的Linux-邮件服务实验.docx
06-25
15. **配置部署Dovecot服务程序**:修改`/etc/dovecot/dovecot.conf`和`/etc/dovecot/conf.d/`下的配置文件,设定用户数据库、认证方法、邮件存储路径等。 16. **配置邮件格式与存储路径**:确定邮件的存储格式(如...
Linux下安装mysql-8.0.20的教程详解
09-08
Linux环境下安装MySQL 8.0.20的步骤...遵循这些步骤,你将能够顺利地在Linux环境中部署MySQL 8.0.20,为你的应用程序提供可靠的数据库支持。在实际操作中,遇到问题时,查阅相关文档或社区支持是解决问题的有效途径。
redis-windows-7.0.3.rar
07-15
在Windows环境下,Redis的部署和使用与Linux有所不同,但其核心功能保持一致。 1. **Redis的安装与配置**: 解压此rar文件后,你会得到几个重要的文件,如`redis-server.exe`是Redis服务器的执行程序,`redis-cli....
Linux安装bind9搭建自己的域名服务器
风水道人
07-06 399
Linux安装bind9搭建自己的域名服务器
Linux实验记录:使用BIND提供域名解析服务
最新发布
d3535的博客
02-04 1778
本文是一篇关于初学者的实验记录。参考书籍:《就该这么学》实验环境:RedHatEnterpriseLinux[RHEL]8——红帽操作系统。
Linux学习笔记--20(使用Bind提供域名解析服务1)
oracle_drower的博客
05-16 726
DNS域名解析服务 DNS(Domain Name System,域名系统),用于管理和解析域名与IP地址对应关系的技术。将域名解析为IP地址(正向解析),或将IP地址解析为域名(反向解析)。 DNS域名解析服务采用了类似目录树的层次结构来记录域名与IP地址之间的对应关,从而形成了一个分布式的数据库系统。 DNS提供了三种类型服务器:  主服务器:在特定区域内具有唯一性,负责维护该区域内的域名与IP地址见的对应关系。  从服务器:从主服务器中获得域名与IP地址的对应关系并进行维护,以防主服务器宕机等情
加密传输
weixin_50848363的博客
11-15 181
生成一个主机名称为master-slave的128位HMAC-MD5算法的密钥文件(公钥+私钥) dnssec-keygen -a HMAC-MD5 -b 128 -n HOST master-slave 切换目录 cd /var/named/chroot/etc 创建文件 vim transfer.key 切换目录 cd /etc/ vim named.conf 第九行include “/etc/transfer.key”; 第18行 allow-transfer {key master-sl
Linux 搭建DNS服务器-BIND
HuangFei
07-07 1203
文章目录BIND 软件介绍BIND 软件安装BIND 安装后生成文件介绍修改配置文件编辑/etc/named.conf编辑/etc/named.conf定义全局本服务器为哪些域名解析BIND配置SOA记录配置检查重载配置文件BIND 解析测试 BIND 软件介绍 BIND(Berkeley Internet Name Domain(伯克利因特网名称域系统)),官方站点,是一款可以运行在Linux系统上的域名解析系统。具备完整的DNS功能。 BIND 软件安装 本博客写作之时,系统为Centos 7.9-20
关机重启、防火墙、设备硬件信息命令
m0_49267280的博客
09-17 1378
关闭SELINUX,防火墙 vi /etc/selinux/configSELINUX=disabled systemctl stop firewalld systemctl disable firewalld
双网卡服务器mysql端口配置_双网卡绑定bind
weixin_39680121的博客
02-11 307
(2)在使用roundrobin模式必须要在交换机上做以太通道,不然会出现网络无法连通。# 使用nmcli命令操作,创建team接口team0,同时设置teaming模式为roundrobinnmcli con add type team con-name team0 ifname team0 config '{"runner":{"name": "roundrobin"}}'# 给接口team0...
Linux使用bind搭建DNS解析
weixin_45390751的博客
01-09 292
linux系统搭建DNS域名解析服务器
Linux下构建大型网站服务器全攻略
为了实现南北互通和国内外互通,部署了基于BIND-view的智能DNS服务器,它可以根据用户的地理位置提供不同的IP解析,优化访问速度。同时,选择了JBOSS服务器作为应用服务器,以支持B/S和C/S架构的应用程序。 Apache...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

鹅一只

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值