中标麒麟Linux系统DNS服务配置指南

1、中标麒麟Linux系统DNS服务配置指南技术创新，变革未来中标麒麟Linux服务器操作系统培训系列本章目标理解主机名的解析以及它对联网系统结构的影响使用常用工具来探察和校验 DNS 服务器操作描述域名系统 (Domain Name System, DNS)执行基本的 BIND DNS 配置主机名解析某些名称服务提供将主机名转换成计算机能够用来沟 通的低级地址的机制例如：名称 - MAC 地址 (链接层)例如：名称 - IP 地址 (网络层) - MAC 地址 (链接层)常用主机名称服务文件 (/etc/hosts 和 /etc/sysconfig/network)DNSNIS多重客户端解析程序

2、：“stub” (占位程序)dighostnslookupStub 解析程序所有程序都可使用的通用解析程序库由 gethostbyname() 和其它 glibc 功能提供不具备更高性能的访问控制能力，例如签发或加密数 据包可以查询由 glibc 支持的任何名称服务读取 /etc/nsswitch.conf 来决定查询名称服务的顺序。 下面是默认配置：hosts: files dnsNIS 域名和 DNS 域名通常有所不同，这样会简化故障排除，避免名称冲突DNS 特有的解析程序host从不读取 /etc/nsswitch.conf 文件默认情况是在 /etc/resolv.conf 中查找 n

3、ameserver 和search 行默认仅给出最少量的输出dig从不读取 /etc/nsswitch.conf 文件默认情况是在 /etc/resolv.conf 文件中只查找nameserver 行输出是 RFC 标准的区块文件格式。该格式被 DNS 服务器使用，从而使 dig对查看 DNS 解析情况特别有 用使用 dig 来跟踪 DNS 查询dig +trace读取 /etc/resolv.conf 文件来判定名称服务器查询根名称服务器追随推荐服务器来查找名称记录(答复)若培训中心的防火墙禁止输出的 DNS，则参考注释 中的输出示例选代 (iterative) 查询初步观察结果：名称被组

4、织成一个倒转的树形结构，最顶端是根 (.)名称层次允许 DNS 跨越机构界限记录中的名称若是完全确认的域名，就以一个点结尾其它观察结果在前一个跟踪中的答复使用资源记录 (resource records) 格式每个资源记录都有五个字段：domain - 被查询的域或子域ttl - 记录被保存在缓存中的时间，以秒为单位class - 记录类别 (通常是 IN)type - 记录类型，例如A 或 NSrdata - domain 映射的资源数据从概念上讲，用户会查询 domain (域名)，而 domain则映射到 rdata 来查找答案在跟踪示例中， 推荐使用 NS (名称服务器) 记录A (地

5、址)记录是最终答复，也是 dig 命令的默认查询 类型正向查询dig 首先试图递归，如输出中的 flags (标志)部分用 rd 表 示。如果名称服务器允许递归，那么服务器就会找到 答案，将请求的记录返回给客户端如果名称服务器不允许递归，那么服务器就推荐一个 dig 可以跟踪的上级域名观察dig 的默认查询类型是A，它记录的 rdata 是一个 IPv4地址使用 -t AAAA 来请求 IPv6 rdata若成功，dig 返回一个 NOERROR 状态，一个答复计数， 还会显示哪个名称服务器对这个名称最有权威逆向查询dig -x 0观察输出的问题部分显示了 DNS 逆转了地址的八进制数 字，在

6、记录的完整域名后面添加了 .答复部分显示了对于逆向查询，DNS 使用 PTR (指 针)记录此外，PTR 记录的 rdata 是完整网络域名邮件交换器查询MX 记录会将域映射到邮件服务器的完整网络域名dig -t mx 观察rdata 字段被引伸为包括一个额外的叫做优先级(priority) 的数据优先级可以被当作是一个距离：网络优选短距离要避免额外查询，名称服务器通常在额外答复中提供 和 MX 记录中的 FQDN相对应的 A 记录MX 记录和它相关的 A 记录一起解析某个域的邮件服 务器SOA 查询SOA 记录将一个服务器标记为主服务器dig -t soa 初步观察结果域字段叫做始发地址rd

7、ata字段被引伸为支持额外数据，下一个演示片对 此进行了解释一般说来，一个域通常有一个主名称服务器，它保存 数据的主要副本域或区块的其它规范性名称服务器被成为“从服务 器”，它们会将其数据与主服务器同步SOA rdata主名称服务器的 FQDN联系邮件地址系列号码在检查系列号码前刷新延迟时间从服务器的重试间隔当从服务器无法联系它的主服务器时，记录会过期否定性答复 (“no such host”，) 的 TTL 最小值成为权威性服务器SOA 记录仅仅指出始发地址 (域) 的主服务器成为权威性服务器的条件：来自父域的授权：NS 记录和 A 记录域数据的本地副本，包括 SOA 记录具备正确的授权，但

8、是缺乏域数据的名称服务器被称 为“欠缺服务器 (lame server)”查询一切dig -t axfr . 54观察该区块中的所有记录都被传送记录中有很多内部网络资料响应对于 UDP 来说太大，因此使用 TCP 来传送多数服务器将区块传送局限于几个主机(通常是从服 务器)在从服务器上使用这个命令来测试主服务器的权限使用 host 来探察 DNS对于以下的查询，添加一 个 -v 选项来以区块文件 格式查看输出跟踪：不可用授权：host -rt ns 强制选代：host -r逆向查询：host 0MX 查询：host -t mx SOA 查询：host -t soa 区块传送：host -t a

9、xfr 54或 host -t ixfr . 54到服务器的过渡中标麒麟 Linux 使用 BIND (Berkely Internet Name Domain，伯克利互联网域名)BIND 是互联网上使用最广泛的 DNS 服务器在一个稳定可靠的体系上建构域名和 IP 地址关联对 DNS RFC 的参考实现在 chroot 环境下运行服务介绍: DNS类型：系统 V (System V) 管理的服务软件包：bind, bind-utils, bind-chroot守护进程：/usr/sbin/named, /usr/sbin/rndc脚本：/etc/init.d/named端口：53 (doma

10、in)，953 (rndc)配置文件：(/var/named/chroot/目录下)/etc/named.conf、/var/named/*, /etc/rndc.key相关软件包：caching-nameserver、openssl访问控制侧写 : BINDNetfilter：进入流量 tcp/udp 端口 53 和 953；输出 流量 tcp/udp 临时端口TCP Wrapper：不适用lddwhich named | grep libwrapstringswnicn namea | grep nostsXinetd：不适用 (named 不是独立守护进程)PAM：不适用(在 /etc/

11、pam.d/ 中没有配置)SELinux：可用 - 参考注释应用程序特有的控制：可用，稍后讨论/usr/share/doc/bind-*/arm/Bv9ARM.html,pdfBIND 入门安装软件包bind 提供核心二进制程序bind-c hroot 提供安全性caching-nameserver 提供初始配置进行启动配置service named configtestservice named startchkconfig named on开始进行基本的 named 配置基本的 named 配置配置 stub 解析程序在 /etc/named.conf 中定义访问控制提供客户端匹配列表服务

12、器接口：listen-on 和 listen-on-v6应该允许哪些查询？选代：allow-query match-list; ;递归：allow-recursion match-list; ;传送：allow-transfer match-list; ;通过区块文件添加数据测试！配置 Stub 解析程序在名称服务器上：编辑 /etc/resolv.conf 来指定 nameserver 编辑 /etc/sysconfig/network-scripts/ifcfg-* 来指定PEERDNSno优点：确保所有应用程序查询的一致性简化访问控制和故障排除除了 /etc/resolv.conf 以外

13、，不具特权的用户还可以 在哪里看到 DHCP 提供的名称服务器？bind-chroot 软件包在 /var/named/chroot 中安装 chroot 环境将现有的配置文件转移到 chroot 环境，将原始文件替 换成符号链接更新 /etc/sysconfig/named 文件中的 named 选项：ROOTDIR/var/named/chroot 提示安装了 bind-chroot 软件包后查看/etc/sysconfig/named 文件启动了 named 后运行 ps -ef | grep named 来校验启 动选项caching-nameserver 软件包named.cachi

14、ng-nameserver.confnamed.ca 包含根服务器的“提示”用于本地机器名称和 IP 地址 (如 localhost.localdomain) 正向和逆向查询的区块文件提示将 named.caching-nameserver.conf 复制为named.conf将拥有者改成 root:named编辑 named.conf 文件地址匹配列表使用分号间隔的 IP 地址列表或者与基于主机的访 问控制安全性指令共同使用的子网列表格式IP 地址：后续的点：192.168.0.CIDR：192.168.0/24使用叹号 (!) 来代表相反的结果按顺序检 查匹配列表，找到第一个匹配后就停止示

15、例： ; 192.168.0.; !/24; 访问控制列表 (ACL)简单地说，ACL 将一个名称分配给一个地址匹配列 表一般可以用来代替匹配列表 (允许嵌套！)最好的办法是在 /etc/named.conf 文件的开始处定 义 ACL声明示例acl trusted1; ;acl classroom/24; trusted; ;acl cracker/24; ;acl mymastersacl myaddresses54; ; ; 内置 ACLBIND 预定义了四个 ACLnoneany- 不匹配任何 IP 地址- 匹配所有 IP 地址localhostlocalnets匹配名称服务器的任何

16、IP 地址匹配直接连接的网络localhost 内置 ACL 和上一页的 myaddresses 例子 有什么区别？ (假定服务器具备多个始发地址)服务器接口选项：listen-on port 53 ; ;将 named 绑定到指定接口示例：listen-on port 53 myaddresses; ;listen-on-v6 port 53 :1; ;重启并校验：netstat -tulpn | grep named问题：如果 listen-on 不包括 怎么办？将 listen-on-v6 改成 : (所有的 IPv6 地址) 会对 IPv4有哪些影响？默认：如果缺少 listen-on

17、 配置，named 就会监听 所有接口允许查询选项：allow-query ; ;服务器为匹配列表中的客户端既提供权威答复也提供 缓存的答复示例：allow-query classroom; cracker; ;默认：如果缺少 allow-query 配置，named 就会允 许一切查询允许递归选项：allow-recursion ; ;服务器代表匹配列表中的客户端来跟踪被推荐的服务 器示例：allow-recursion classroom; !cracker; ;问题如果 1 试图进行递归查询会发生什么情 况？如果 试图进行递归查询会发生什么情况？默认：如果缺少 allow-recursi

18、on 配置，named 就 会允许一切允许传送选项：allow-transfer ; ;匹配列表中的客户机可以充当从服务器示例：allow-transfer !cracker; classroom; ;问题如果 1 试图进行从服务器传送会发生什么？如果 试图进行从服务器传送会发生什么？默认：如果缺少 allow-transfer 配置，named 就会允 许一切修改 BIND 行为选项：forwarders ;修改器：forward first | only;让 named 在追随推荐的服务器之前递归地查询指 定的服务器。示例：forwarders mymasters; ;forward on

19、ly;您该如何判断 forwarders 是否必要？如果缺少 forward 修改程序，named 就会假定它 是第一个访问控制：结合使用基本访问控制选项的 /etc/named.conf 文件观察访问控制选项allow-* 选项指令配置文件加注释从区块说明示范性区块说明让服务器：充当 n 的权威名称服务器。这里的 是 SOA 记录的 domain 字段中指定的 始发地址充当该区块的从服务器执行根据 masters 选项中的主机的区块文件传送(AXFR 和 IXFR)将传送到的数据保存在/var/named/chroot/var/named/slaves/.z one 文件中重载 named

20、自动创建文件主区块说明示范性区块说明让服务器：充当 的权威名称服务器。这里的 是 SOA 记录的 domain 字段中指定的 始发地址是这个区块的主文件从 /var/named/chroot/var/named/.zone中读取主要数据在重载 named 前手动创建主文件创建区块文件区块文件的内容：记录集合，从 SOA 记录开始 符号是一个变量，代表区块的始发地址。始发地 址在 /etc/named.conf 的 zone 说明中指定注释使用汇编语言模式 (;)注意事项：若没有使用“点”来终止名称，BIND 会在这个名称后补 充域的始发地址如果记录中缺少域字段，BIND 会使用前一个记录中的

21、值(危险！如果另一个管理员改变了记录顺序怎么办？)修改了区块文件后，不要忘记递增系列号码，重载 named 服务哪个 DNS 指定的解析程序使用区块文件格式的输出？区块文件提示捷径：不必从头开始 - 复制由 caching- nameserver 软件包 安装的现有区块文件为尽量减少打字数量，将 $TTL 86400 放在区块文件 的第一行，这样可以省略单独记录的 TTLBIND 允许您将被包在括号内的，有多个值的 rdata分成几行为区块文件选择一个能够反映其始发地址(来源)的文 件名测试操作选择 dig、host 或 nslookup 中的一个，熟练地使用 它来校验您的 DNS 服务器操作重启服务后，在另外一个 shell 中运行 tail -f var/log/messages配置如果有语法错误，BIND 就无法启动，因此在编辑了 配置文件后总是运行 service named configtestc