RHCE技术培训-组织联网的系统介绍

1、RedHat RHCE 操作系统技术培训资料组织联网的系统介绍单元 4 组织联网的系统目标主机名解析Stub 解析程序DNS 特有的解析程序使用 dig 来跟踪 DNS 查询其它观察结果正向查询逆向查询邮件交换器查询SOA 查询SOA rdata成为权威性服务器查询一切使用 host 来探察 DNS 到服务器的过度服务侧写 ：DNS访问控制侧写 ：BINDBIND 入门基本的 named 配置配置 Stub 解析程序bind-chroot 软件包caching-nameserver 软件包地址匹配列表访问控制列表（ACL）内置 ACL 服务器接口允许查询允许递归允许传送修改 BIND 行为访问

2、控制 ：结合使用从区块说明主区块说明创建区块文件区块文件提示测试BIND 语法检查工具BIND 的高级课题远程名称守护进程控制（mdc）给子域授权DHCP 总览服务侧写 ：DHCP 配置 IPv4 DHCP 服务器结束 单元 4目标学习了本单元后，你应该能够： 理解主机名的解析以及它对联网系统结构的影响 使用常用工具来探察和校验 DNS 服务器操作 描述域名系统（Domain Name System, DNS） 执行基本的 BIND DNS 配置 DHCP 总览 DHCP 配置主机名解析 某些名称服务器提供将主机名转换成计算机能够用来沟通的低级地址的机制 例如 ：名称 - MAC 地址（链接层

3、） 例如 ：名称 - IP 地址（网络层）- MAC 地址（链接层） 常用主机名称服务 文件（/etc/hosts 和 /etc/networks） DNS NIS 多重客户端解析程序 “stub”（占位程序） dig host nslookupStub 解析程序 所有程序都可使用的通用解析程序库 由 gethostbyname() 和其它 glibe 功能提供 不具备更高性能的访问控制能力，例如签发或加密数据包 可以查询由 glibc 支持的任何名称服务 读取 /etc/nsswitch.conf 来决定查询名称服务的顺序，下面是默认配置 ： hosts: files dns NIS 域名和

4、 DNS 域名通常有所不同，这样会简化故障排除，避免名称冲突DNS 特有的解析程序 host 从不读取 /etc/nsswitch.conf 文件 默认情况是在 /etc/resolv.conf 中查找 nameserver 和 search 行 默认仅给出最少量的输出 dig 从不读取 /etc/nsswitch.conf 文件 默认情况是在 /etc/resolv.conf 文件中只查找 nameserver 行 输出是 RFC 标准的区块文件格式，该格式被 DNS 服务器使用，从而使对查看 DNS 解析情况特别有用使用 dig 来跟踪 DNS 查询 dig +trace 读取 /etc/

5、resolv.conf 文件来判定名称服务器 查询根名称服务器 追随推荐服务器来查找名称记录（答复） 若培训中心的防火墙禁止输出的 DNS，则参考注释中的输出示例 迭代（iterative）查询 初步观察结果 ： 名称被组织成一个倒转的树形结构，最顶端是根（.） 名称层次允许 DNS 跨越机构界限 记录中的名称若是完全确认的域名，就以一个点结尾其它观察结果 在前一个跟踪中的答复使用资源记录（resources records）格式 每个资源记录都有五个字段 ： domain 被查询的域或子域 ttl 记录被保存在缓存中的时间，以秒为单位 class 记录类别（通常是 IN） type 记录类型

6、，例如 A 或 NS rdata domain 映射的资源数据 从概念上讲，用户会查询 domain （域名），而 domain 则映射到 rdata 来查找答案 在跟踪示例中 推荐使用 NS （名称服务器）记录 A（地址）记录是最终答复，也是 dig 命令的默认查询类型正向查询 dig 首先试图递归，如输出中的 flage （标志）部分用 rd 表示，如果名称服务器允许递归，那么服务器就会找到答案，将请求的记录返回给客户端 如果名称服务器不允许递归，那么服务器就推荐一个 dig 可以跟踪的上级域名 观察 dig 的默认查询类型是 A ，它记录的 rdata 是一个 IPv4 地址 使用 t

7、AAAA 来请求 IPv6 rdata 若成功，dig 返回一个 NOERROR 状态，一个答复计数，还会显示哪个名称服务器对这个名称最有权威逆向查询 dig x 0 观察 输出的问题部分显示了 DNS 逆转了地址的八进制数字，在记录的完整域名后面添加了 . 答复部分显示了对于逆向查询，DNS 使用 PTR（指针）记录 此外，PTR 记录的 rdata 是完整网络域名邮件交换器查询 MX 记录会将域映射到邮件服务器的完整网络域名 dit t mx 观察 rdata 字段被引伸为包括一个额外的叫做优先级（priority）的数据 优先级可以被当作是一个距离 ：网络优选短距离 要避免额外查询，名称

8、服务器通常在额外答复中提供和 MX 记录中的 FQDN 相对应的 A 记录 MX 记录和它相关 A 记录一起解析某个域的邮件服务器SOA 查询 SOA 记录将一个服务器标记为主服务器 dig t soa 初步观察结果 域字段叫做始发地址 rdata 字段被引伸为支持额外数据，下一个演示片对此进行了解释 一般说来，一个域通常有一个主名称服务器，它保存数据的主要副本 域或区块的其它规范性名称服务器被成为“从服务器”，它们会将其数据与主服务同步SOA rdata 主名称服务器的 FQDN 联系邮件地址 系列号码 在检查系列号码前刷新延迟时间 从服务器的重试间隔 当从服务器无法联系它的服务器时，记录会

9、过期 否定性答复（“no such host”）的 TTL 最小值成为权威性服务器 SOA 记录仅仅指出始发地址（域）的主服务器 成为权威性服务器的条件 ： 来自父域的授权 ：NS 记录和 A 记录 域数据的本地副本，包括 SOA 记录 具备正确的授权，但是缺乏域数据的名称服务器被成为“欠缺服务器（lame server）”查询一切 dig t axfr .54 观察 该区块中的所有记录都被传送 记录中有很多内部网络资料 响应对于 UDP 来说太大，因此使用 TCP 来传送 多数服务器将区块传送局限于几个主机（通常是从服务器） 在从服务器上使用这个命令来测试主服务器的权限使用 host 来探察

10、 DNS 对于以下的查询，添加一个 v 选项来以区块文件格式查看输出 跟踪 ：不可用 授权 ：host rt ns 强制迭代 ：host r 逆向查询 ：host 0 MX 查询 ：host t mx SOA查询 ：host t soa 区块传送 ：host t axfr 54 或 host t ixfr= . 54 到服务器的过渡 红帽企业版 Linux 使用 BIND（Berkely Internet Name Domain，伯克利互联网域名） BIND 是互联网上使用最广泛的 DNS 服务器 在一个稳定可靠的体系上建构域名和 IP 地址关联 对 DNS RFC 的参考实现 在 chroo

11、t 环境下运行服务侧写 ：DNS 类型 ：系统 V（System V）管理的服务 软件包 ：bind、bind-utils、bind-chroot 守护进程 ：/usr/sbin/named、/usr/sbin/rndc 脚本 ：/etc/init.d/named 端口 ：53（domain）， 953（rndc） 配置文件 ：（/var/named/chroot/ 目录下） /etc/named.conf、/var/named/*、/etc/rndc.key 相关软件包 ：caching-nameserver、openssl访问控制侧写 ：BIND Netfilter ：进入流量 tcp/u

12、dp 端口 53 和 953 ；输出流量 tcp/udp 临时端口 TCP Wrapper ：不适用 ldd which named |grep libwrap strings which named | grep hosts Xinetd ：不适用（named 不是独立守护进程） PAM ：不适用（在 /etc/pam.d/ 中没有配置） SELinux ：可用 参考注释 应用程序特有的控制 ：可用，稍后讨论 /usr/share/doc/bind-*/arm/Bv9ARM.html,pdfBIND 入门 安装软件包 bind 提供核心二进制程序 bind-chroot 提供安全性 cach

13、ing-nameserver 提供初始配置 进行启动配置 service named configtest service named start chkconfig named on 开始进行基本的 named 配置基本的 named 配置 配置 stub 解析程序 在 /etc/named.conf 中定义访问控制 提供客户端匹配列表 服务器接口 ：listen-on 和 listen-on-v6 应该允许哪些查询 ？ 迭代 ：allow-query match-list; 递归 ：allow-recursion match-list; 传送 ：allow-transfer match-l

14、ist; 通过区块文件添加数据 测试 ！配置 Stub 解析程序 在名称服务器上 ： 编辑 /etc/resolv.conf 来指定 nameserver 编辑 /etc/sysconfig/network-scripts/ifcfg-* 来指定 PEERDNS=no 优点 确保所有应用程序查询的一致性 简化访问控制和故障排除 除了 /etc/resolv.conf 以外，不具特权的用户还可以在哪里看到 DHCP 提供的名称服务器 ？ bind-chroot 软件包 在 /var/named/chroot 中安装 chroot 环境 将现有的配置文件转移到 chroot 环境，将原始文件替换成

15、符号链接 更新 /etc/sysconfig/named 文件中的 named 选项 ： ROOTDIR=/var/named/chroot 提示 安装了 bind-chroot 软件包后查看 /etc/sysconfig/named 文件 启动了 named 后运行 ps ef | grep named 来校验启动选项 caching-nameserver 软件包 提供 named.caching-nameserver.conf named.ca 包含根服务器的“提示” 用于本地机器名称和 IP 地址（如 localhost.localdomain）正向和逆向查询的区块文件 提示 将 nam

16、ed.caching-nameserver.conf 复制为 named.conf 将拥有者改成 root：named 编辑 named.conf 文件 下面的内容将描述基本的访问指令地址匹配列表 使用分号间隔的 IP 地址列表或者与基于主机的访问控制安全性指令共同使用的子网列表 格式 IP 地址 ： 后续的点 ：192.168.0. CIDR ： 192.168.0/24 使用叹号（！）来代表相反的结果 按顺序检查匹配列表，找到第一个匹配后就停止 示例 ： ；192.168.0.；!/24；访问控制列表（ACL） 简单地说，ACL 将一个名称分配给一个地址匹配列表 一般可以用来代替匹配列表（

17、允许嵌套！） 最好的办法是在 /etc/named.conf 文件的开始处定义 ACL 声明示例 acl “trusted” 1; acl “classroom” /24; trusted; acl “cracker” /24; acl “mymasters” 54; acl “myaddresses” ; ;内置 ACL BIND 预定义了四个 ACL none - 不匹配任何 IP 地址 any - 匹配所有 IP 地址 localhost - 匹配名称服务器的任何 IP 地址 localnets - 匹配直接连接的网络 localhost 内置 ACL 内置 ACL 和上一页的 myad

18、dresses 例子有什么区别 ？（假定服务器具备多个始发地址）服务器接口 选项 ：listen-on port 53 ； 将 named 绑定到指定接口 示例 ： listen-on port 53 myaddresses； listen-on-v6 port 53 :1； 重启并校验 ：netstat tulpn | grep named 问题 ： 如果 listen-on 不包括 怎么办 ？ 将 listen-on-v6 改成 : （所有的 IPv6 地址）会对 IPv4有哪些影响 ？ 默认 ：如果缺少 listen-on 配置，named 就会监听所有接口允许查询 选项 ：allow-

19、query ； 服务器为匹配列表中的客户端既提供权威答复也提供缓存的答复 示例 ： allow-query classroom；cracker； 默认 ：如果缺少 allow-query 配置，named 就会允许一切查询允许递归 选项 ：allow-recursion ； 服务器代表匹配列表中的客户端来跟踪被推荐的服务器 示例 ： allow-recursion classroom；!cracker； 问题 如果 1 试图进行递归查询会发生什么情况 ？ 如果 试图进行递归查询会发生什么情况 ？ 默认 ：如果缺少 allow-recursion 配置，named 就会允许一切允许传送 选项 ：

20、allow-transfer ； 匹配列表中的客户机可以充当从服务器 示例 ： allow-transfer !cracker；classroom； 问题 如果 1 试图进行从服务器传送会发生什么 ？ 如果 试图进行从服务器传送会发生什么 ？ 默认 ：如果缺少 allow-transfer 配置，named 就会允许一切修改 BIND 行为 选项 ：forwarders ； 修改器 ：forward first | only； 让 named 在追随推荐的服务器之前递归地查询指定的服务器 示例 forwarders mymasters； forward only； 您该如何判定 forward

21、ers 是否必要 ？ 如果缺少 forward 修改程序，named 就会假定它是第一个访问控制 ：结合使用 带有基本访问控制选项的 /etc/named.conf 文件示例 ：从区块说明 zone “” type slave； masters mymasters； file “salves/.zone”； 示范性区块说明让服务器 ： 充当 的权威名称服务器，这里的 是 SOA 记录的 domain 字段中指定的始发地址 充当该区块的从服务器 执行根据 masters 选项中的主机的区块文件传送（AXFR 和 IXFR） 将传送到的数据保存在 /var/named/chroot/var/nam

22、ed/salves/.zone重载 named 自动创建文件主区块说明 zone “” type master； file “.zone”； 示范性区块说明让服务器 ： 充当 的权威名称服务器，这里的 是 SOA 记录的 domain 字段中指定的始发地址 是这个区块的主文件 从/var/named/chroot/var/named/salves/.zone 中读取主要数据 在重载 named 前手动创建主文件创建区块文件 区块文件的内容 ： 记录集合，从 SOA 记录开始 符号是一个变量，代表区块的始发地址，始发地址在 /etc/named.conf 的 zone 说明中指定 注释使用汇编语

23、言模式（:） 注意事项 ： 若没有使用“点”来终止名称，BIND 会在这个名称后补充域的始发地址 如果记录中缺少域字段，BIND 会使用一个记录中的值（危险！如果另一个管理员改变了记录顺序怎么办 ？） 修改了区块文件后，不要忘记递增系列号码，重载 named 服务 哪个 DNS 指定的解析程序使用区块文件格式的输出 ？ 区块文件提示 捷径 ： 不必从头开始 - 复制由 caching-nameserver 软件包安装的现有区块文件 为尽量减少打字数量，将 $TTL 86400 放在区块文件的第一行，这样可以省略单独记录的 TTL BIND 允许您将被包在括号内的，有多个值的 rdata 分成几

24、行 为区块文件选择一个能够反映其始发地址（来源）的文件名测试 操作 选择 dig、host或 nslookup 中的一个，数量地使用它来校验您的 DNS 服务器操作 重启服务后，在另外一个 shell 中运行 tail f /var/log/messages 配置 如果有语法错误，BIND 就无法启动，因此在编辑了配置文件后总是运行 service named configtest configtest 会运行两个语法检查工具，检查您的配置中的指定的文件，但是这些工具也可以在配置以外单独运行BIND 语法检查工具 named-checkconf t ROOTDIR /path/to/named.conf/ 默认查看 /etc/named.conf 文件（如果缺少 t 选项，查看的文件就不对） 例如 ：named-checkconf t /var/named/chroot named-checkzone origin/path/to/zonefile 查看指定的区块配置 示例 ： named-checkzone /var/named/chroot/var/named/.