单元4-组织联网的系统课件

单元4—组织联网的系统目标主机名解析Stub解析程序DNS特有的解析程序使用dig来跟踪DNS查询其它观察结果正向查询逆向查询邮件交换器查询SOA查询SOArdata成为权威性服务器查询一切使用host来探察DNS到服务器的过度服务侧写：DNS访问控制侧写：BINDBIND入门基本的named配置配置Stub解析程序bind-chroot软件包caching-nameserver软件包地址匹配列表访问控制列表（ACL）内置ACL服务器接口允许查询允许递归允许传送修改BIND行为访问控制：结合使用从区块说明主区块说明创建区块文件区块文件提示测试BIND语法检查工具BIND的高级课题远程名称守护进程控制（mdc）给子域授权DHCP总览服务侧写：DHCP配置IPv4DHCP服务器结束单元4单元4—组织联网的系统目标访问控制侧写：BIND主区1目标学习了本单元后，你应该能够：●理解主机名的解析以及它对联网系统结构的影响●使用常用工具来探察和校验DNS服务器操作●描述域名系统（DomainNameSystem,DNS）●执行基本的BINDDNS配置●DHCP总览●DHCP配置目标学习了本单元后，你应该能够：2主机名解析●某些名称服务器提供将主机名转换成计算机能够用来沟通的低级地址的机制●例如：名称-->MAC地址（链接层）●例如：名称-->IP地址（网络层）-->MAC地址（链接层）●常用主机名称服务●文件（/etc/hosts和/etc/networks）●DNS●NIS●多重客户端解析程序●“stub”（占位程序）●dig●host●nslookup主机名解析●某些名称服务器提供将主机名转换成计算机能够用来3Stub解析程序●所有程序都可使用的通用解析程序库●由gethostbyname()和其它glibe功能提供●不具备更高性能的访问控制能力，例如签发或加密数据包●可以查询由glibc支持的任何名称服务●读取/etc/nsswitch.conf来决定查询名称服务的顺序，下面是默认配置：

hosts:filesdns●NIS域名和DNS域名通常有所不同，这样会简化故障排除，避免名称冲突Stub解析程序●所有程序都可使用的通用解析程序库4DNS特有的解析程序●host●从不读取/etc/nsswitch.conf文件●默认情况是在/etc/resolv.conf中查找nameserver和search行●默认仅给出最少量的输出●dig●从不读取/etc/nsswitch.conf文件●默认情况是在/etc/resolv.conf文件中只查找nameserver行●输出是RFC标准的区块文件格式，该格式被DNS服务器使用，从而使对查看DNS解析情况特别有用DNS特有的解析程序●host5使用dig来跟踪DNS查询●dig+trace●读取/etc/resolv.conf文件来判定名称服务器●查询根名称服务器●追随推荐服务器来查找名称记录（答复）●若培训中心的防火墙禁止输出的DNS，则参考注释中的输出示例●迭代（iterative）查询●初步观察结果：●名称被组织成一个倒转的树形结构，最顶端是根（.）●名称层次允许DNS跨越机构界限●记录中的名称若是完全确认的域名，就以一个点结尾使用dig来跟踪DNS查询●dig+trace6其它观察结果●在前一个跟踪中的答复使用资源记录（resourcesrecords）格式●每个资源记录都有五个字段：●domain–被查询的域或子域●ttl–记录被保存在缓存中的时间，以秒为单位●class–记录类别（通常是IN）●type–记录类型，例如A或NS●rdata–domain映射的资源数据●从概念上讲，用户会查询domain（域名），而domain则映射到rdata来查找答案●在跟踪示例中●推荐使用NS（名称服务器）记录●A（地址）记录是最终答复，也是dig命令的默认查询类型其它观察结果●在前一个跟踪中的答复使用资源记录（resou7正向查询●dig●首先试图递归，如输出中的flage（标志）部分用rd表示，如果名称服务器允许递归，那么服务器就会找到答案，将请求的记录返回给客户端●如果名称服务器不允许递归，那么服务器就推荐一个dig可以跟踪的上级域名●观察●dig的默认查询类型是A，它记录的rdata是一个IPv4地址●使用–tAAAA来请求IPv6rdata●若成功，dig返回一个NOERROR状态，一个答复计数，还会显示哪个名称服务器对这个名称最有权威正向查询●dig8逆向查询●dig–x0●观察●输出的问题部分显示了DNS逆转了地址的八进制数字，在记录的完整域名后面添加了.●答复部分显示了对于逆向查询，DNS使用PTR（指针）记录●此外，PTR记录的rdata是完整网络域名逆向查询●dig–x09邮件交换器查询●MX记录会将域映射到邮件服务器的完整网络域名●dit–tmx●观察●rdata字段被引伸为包括一个额外的叫做优先级（priority）的数据●优先级可以被当作是一个距离：网络优选短距离●要避免额外查询，名称服务器通常在额外答复中提供和MX记录中的FQDN相对应的A记录●MX记录和它相关A记录一起解析某个域的邮件服务器邮件交换器查询●MX记录会将域映射到邮件服务器的完整网络10SOA查询●SOA记录将一个服务器标记为主服务器●dig–tsoa●初步观察结果●域字段叫做始发地址●rdata字段被引伸为支持额外数据，下一个演示片对此进行了解释●一般说来，一个域通常有一个主名称服务器，它保存数据的主要副本●域或区块的其它规范性名称服务器被成为“从服务器”，它们会将其数据与主服务同步SOA查询●SOA记录将一个服务器标记为主服务器11SOArdata●主名称服务器的FQDN●联系邮件地址●系列号码●在检查系列号码前刷新延迟时间●从服务器的重试间隔●当从服务器无法联系它的服务器时，记录会过期●否定性答复（“nosuchhost”）的TTL最小值SOArdata●主名称服务器的FQDN12成为权威性服务器●SOA记录仅仅指出始发地址（域）的主服务器●成为权威性服务器的条件：●来自父域的授权：NS记录和A记录●域数据的本地副本，包括SOA记录●具备正确的授权，但是缺乏域数据的名称服务器被成为“欠缺服务器（lameserver）”成为权威性服务器●SOA记录仅仅指出始发地址（域）的主服13查询一切●dig–taxfr.@54●观察●该区块中的所有记录都被传送●记录中有很多内部网络资料●响应对于UDP来说太大，因此使用TCP来传送●多数服务器将区块传送局限于几个主机（通常是从服务器）●在从服务器上使用这个命令来测试主服务器的权限查询一切●dig–taxfr.14使用host来探察DNS●对于以下的查询，添加一个–v选项来以区块文件格式查看输出●跟踪：不可用●授权：host–rtns●强制迭代：host–r●逆向查询：host0●MX查询：host–tmx●SOA查询：host–tsoa●区块传送：host–taxfr54或host–tixfr=<系列号码>.54使用host来探察DNS●对于以下的查询，添加一个15到服务器的过渡●红帽企业版Linux使用BIND（BerkelyInternetNameDomain，伯克利互联网域名）●BIND是互联网上使用最广泛的DNS服务器●在一个稳定可靠的体系上建构域名和IP地址关联●对DNSRFC的参考实现●在chroot环境下运行到服务器的过渡●红帽企业版Linux使用BIND（B16服务侧写：DNS●类型：系统V（SystemV）管理的服务●软件包：bind、bind-utils、bind-chroot●守护进程：/usr/sbin/named、/usr/sbin/rndc●脚本：/etc/init.d/named●端口：53（domain），953（rndc）●配置文件：（/var/named/chroot/目录下）/etc/named.conf、/var/named/*、/etc/rndc.key●相关软件包：caching-nameserver、openssl服务侧写：DNS●类型：系统V（SystemV）管17访问控制侧写：BIND●Netfilter：进入流量tcp/udp端口53和953；输出流量tcp/udp临时端口●TCPWrapper：不适用

ldd‵whichnamed‵|greplibwrapstrings‵whichnamed‵|grephosts●Xinetd：不适用（named不是独立守护进程）●PAM：不适用（在/etc/pam.d/中没有配置）●SELinux：可用–参考注释●应用程序特有的控制：可用，稍后讨论

/usr/share/doc/bind-*/arm/Bv9ARM.{html,pdf}访问控制侧写：BIND●Netfilter：进入流量18BIND入门●安装软件包●bind提供核心二进制程序●bind-chroot提供安全性●caching-nameserver提供初始配置●进行启动配置●servicenamedconfigtest●servicenamedstart●chkconfignamedon●开始进行基本的named配置BIND入门●安装软件包19基本的named配置●配置stub解析程序●在/etc/named.conf中定义访问控制●提供客户端匹配列表●服务器接口：listen-on和listen-on-v6●应该允许哪些查询？●迭代：allow-query{match-list;};●递归：allow-recursion{match-list;};●传送：allow-transfer{match-list;};●通过区块文件添加数据●测试！基本的named配置●配置stub解析程序20配置Stub解析程序●在名称服务器上：●编辑/etc/resolv.conf来指定nameserver●编辑/etc/sysconfig/network-scripts/ifcfg-*来指定PEERDNS=no●优点●确保所有应用程序查询的一致性●简化访问控制和故障排除●除了/etc/resolv.conf以外，不具特权的用户还可以在哪里看到DHCP提供的名称服务器？配置Stub解析程序●在名称服务器上：21

bind-chroot软件包●在/var/named/chroot中安装chroot环境●将现有的配置文件转移到chroot环境，将原始文件替换成符号链接●更新/etc/sysconfig/named文件中的named选项：

ROOTDIR=/var/named/chroot●提示●安装了bind-chroot软件包后查看/etc/sysconfig/named文件●启动了named后运行ps–ef|grepnamed来校验启动选项bind-chroot软件包●在/var/named22

caching-nameserver软件包●提供●named.caching-nameserver.conf●named.ca包含根服务器的“提示”●用于本地机器名称和IP地址（如localhost.localdomain）正向和逆向查询的区块文件●提示●将named.caching-nameserver.conf复制为named.conf●将拥有者改成root：named●编辑named.conf文件●下面的内容将描述基本的访问指令caching-nameserver软件包●提供23地址匹配列表●使用分号间隔的IP地址列表或者与基于主机的访问控制安全性指令共同使用的子网列表●格式●IP地址：●后续的点：192.168.0.●CIDR：192.168.0/24●使用叹号（！）来代表相反的结果●按顺序检查匹配列表，找到第一个匹配后就停止●示例：{；192.168.0.；!/24；}；地址匹配列表●使用分号间隔的IP地址列表或者与基于主机24访问控制列表（ACL）●简单地说，ACL将一个名称分配给一个地址匹配列表●一般可以用来代替匹配列表（允许嵌套！）●最好的办法是在/etc/named.conf文件的开始处定义ACL●声明示例

acl“trusted”{1;};acl“classroom”{/24;trusted;};acl“cracker”{/24;};acl“mymasters”{54;};acl“myaddresses”{;;};访问控制列表（ACL）●简单地说，ACL将一个名称分配给25内置ACL●BIND预定义了四个ACL

none-不匹配任何IP地址any-匹配所有IP地址localhost-匹配名称服务器的任何IP地址localnets-匹配直接连接的网络●localhost内置ACL内置ACL和上一页的myaddresses例子有什么区别？（假定服务器具备多个始发地址）内置ACL●BIND预定义了四个ACL26服务器接口●选项：listen-onport53{<匹配列表>；}；●将named绑定到指定接口●示例：listen-onport53{myaddresses；}；listen-on-v6port53{::1；}；●重启并校验：netstat–tulpn|grepnamed●问题：●如果listen-on不包括怎么办？●将listen-on-v6改成::（所有的IPv6地址）会对IPv4有哪些影响？●默认：如果缺少listen-on配置，named就会监听所有接口服务器接口●选项：listen-onport53{27允许查询●选项：allow-query{<匹配列表>；}；●服务器为匹配列表中的客户端既提供权威答复也提供缓存的答复●示例：

allow-query{classroom；cracker；}；●默认：如果缺少allow-query配置，named就会允许一切查询允许查询●选项：allow-query{<匹配列表>28允许递归●选项：allow-recursion{<匹配列表>；}；●服务器代表匹配列表中的客户端来跟踪被推荐的服务器●示例：

allow-recursion{classroom；!cracker；}；●问题●如果1试图进行递归查询会发生什么情况？●如果试图进行递归查询会发生什么情况？●默认：如果缺少allow-recursion配置，named就会允许一切允许递归●选项：allow-recursion{<匹29允许传送●选项：allow-transfer{<匹配列表>；}；●匹配列表中的客户机可以充当从服务器●示例：

allow-transfer{!cracker；classroom；}；●问题●如果1试图进行从服务器传送会发生什么？●如果试图进行从服务器传送会发生什么？●默认：如果缺少allow-transfer配置，named就会允许一切允许传送●选项：allow-transfer{<匹配30修改BIND行为●选项：forwarders{<匹配列表>；}；●修改器：forwardfirst|only；●让named在追随推荐的服务器之前递归地查询指定的服务器●示例

forwarders{mymasters；}；forwardonly；●您该如何判定forwarders是否必要？●如果缺少forward修改程序，named就会假定它是第一个修改BIND行为●选项：forwarders{<31访问控制：结合使用●带有基本访问控制选项的/etc/named.conf文件示例：访问控制：结合使用●带有基本访问控制选项的/etc/n32从区块说明

zone“”{typeslave；masters{mymasters；}；file“salves/.zone”；}；●示范性区块说明让服务器：●充当的权威名称服务器，这里的是SOA记录的domain字段中指定的始发地址●充当该区块的从服务器●执行根据masters选项中的主机的区块文件传送（AXFR和IXFR）●将传送到的数据保存在/var/named/chroot/var/named/salves/.zone●重载named自动创建文件从区块说明zone“”{33主区块说明

zone“”{typemaster；file“.zone”；}；●示范性区块说明让服务器：●充当的权威名称服务器，这里的是SOA记录的domain字段中指定的始发地址●是这个区块的主文件●从/var/named/chroot/var/named/salves/.zone中读取主要数据●在重载named前手动创建主文件主区块说明zone“”{34创建区块文件●区块文件的内容：●记录集合，从SOA记录开始●@符号是一个变量，代表区块的始发地址，始发地址在

/etc/named.conf的zone说明中指定●注释使用汇编语言模式（:）●注意事项：●若没有使用“点”来终止名称，BIND会在这个名称后补充域的始发地址●如果记录中缺少域字段，BIND会使用一个记录中的值（危险！如果另一个管理员改变了记录顺序怎么办？）●修改了区块文件后，不要忘记递增系列号码，重载named服务●哪个DNS指定的解析程序使用区块文件格式的输出？

创建区块文件●区块文件的内容：35区块文件提示●捷径：●不必从头开始-复制由caching-nameserver软件包安装的现有区块文件●为尽量减少打字数量，将$TTL86400放在区块文件的第一行，这样可以省略单独记录的TTL●BIND允许您将被包在括号内的，有多个值的rdata分成几行●为区块文件选择一个能够反映其始发地址（来源）的文件名区块文件提示●捷径：36测试●操作●选择dig、host或nslookup中的一个，数量地使用它来校验您的DNS服务器操作●重启服务后，在另外一个shell中运行tail–f/var/log/messages●配置●如果有语法错误，BIND就无法启动，因此在编辑了配置文件后总是运行servicenamedconfigtest●configtest会运行两个语法检查工具，检查您的配置中的指定的文件，但是这些工具也可以在配置以外单独运行测试●操作37BIND语法检查工具●named-checkconf–tROOTDIR/path/to/named.conf/●默认查看/etc/named.conf文件（如果缺少–t选项，查看的文件就不对）●例如：named-checkconf–t/var/named/chroot●named-checkzoneorigin/path/to/zonefile●查看指定的区块配置●示例：

named-checkzone\/var/named/chroot/var/named/.zoneBIND语法检查工具●named-checkconf–38BIND的高级课题●远程名称守护进程控制（rndc）●给子域授权BIND的高级课题●远程名称守护进程控制（rndc）39远程名称守护进程控制（rndc）●提供对named的本地和远程管理●bind-chroot软件包配置了rndc●只监听IPv4和IPv6回送接口●送/etc/rndc.key中读取密钥●如果密钥不匹配，就无法启动或停止named服务●默认的本地安装不必使用额外配置●例如-清除服务器的缓存：rndcflush远程名称守护进程控制（rndc）●提供对named的本40给子域授权●步骤●在子服务器中，创建包含子域数据的区块文件●在父服务器中，添加一个NS记录●在父服务器中，添加一个A记录来完成授权●粘合记录●如果子服务器的规范名称位于它管理的子域中，A记录就被称为“粘合（glue）”记录给子域授权●步骤41DHCP总览●DHCP：动态主机配置协议，通过dhcpd实施●dhcpd为DHCP和BOOTPIPv4客户端提供服务DHCP总览●DHCP：动态主机配置协议，通过dhc42服务侧写：DHCP●类型：系统V（SystemV）管理的服务●软件包：dhcp●守护进程：/usr/sbin/dhcpd●脚本：/etc/init.d/dhcpd●端口：67（bootps），68（bootpc）●配置文件：/etc/dhcpd.conf、/var/lib/dhcpd/dhcpd.leases●相关软件包：dhclient、dhcpv6_client、dhcpv6服务侧写：DHCP●类型：系统V（SystemV43配置IPv4DHCP服务器●在/etc/dhcpd.conf文件中配置服务器●/usr/share/doc/dhcp-<version>/dhcpd.conf.sample提供了配置文件范例●其中必须至少有一个子网块，且必须和配置的接口对应●运行servicedhcpdconfigtest来检查语法配置IPv4DHCP服务器●在/etc/dhcpd44结束单元4●答疑●总结●答疑●上机准备●课程目标●练习背景●参考答案●若需帮助，请向指导老师咨询结束单元4●答疑45单元4—组织联网的系统目标主机名解析Stub解析程序DNS特有的解析程序使用dig来跟踪DNS查询其它观察结果正向查询逆向查询邮件交换器查询SOA查询SOArdata成为权威性服务器查询一切使用host来探察DNS到服务器的过度服务侧写：DNS访问控制侧写：BINDBIND入门基本的named配置配置Stub解析程序bind-chroot软件包caching-nameserver软件包地址匹配列表访问控制列表（ACL）内置ACL服务器接口允许查询允许递归允许传送修改BIND行为访问控制：结合使用从区块说明主区块说明创建区块文件区块文件提示测试BIND语法检查工具BIND的高级课题远程名称守护进程控制（mdc）给子域授权DHCP总览服务侧写：DHCP配置IPv4DHCP服务器结束单元4单元4—组织联网的系统目标访问控制侧写：BIND主区46目标学习了本单元后，你应该能够：●理解主机名的解析以及它对联网系统结构的影响●使用常用工具来探察和校验DNS服务器操作●描述域名系统（DomainNameSystem,DNS）●执行基本的BINDDNS配置●DHCP总览●DHCP配置目标学习了本单元后，你应该能够：47主机名解析●某些名称服务器提供将主机名转换成计算机能够用来沟通的低级地址的机制●例如：名称-->MAC地址（链接层）●例如：名称-->IP地址（网络层）-->MAC地址（链接层）●常用主机名称服务●文件（/etc/hosts和/etc/networks）●DNS●NIS●多重客户端解析程序●“stub”（占位程序）●dig●host●nslookup主机名解析●某些名称服务器提供将主机名转换成计算机能够用来48Stub解析程序●所有程序都可使用的通用解析程序库●由gethostbyname()和其它glibe功能提供●不具备更高性能的访问控制能力，例如签发或加密数据包●可以查询由glibc支持的任何名称服务●读取/etc/nsswitch.conf来决定查询名称服务的顺序，下面是默认配置：

hosts:filesdns●NIS域名和DNS域名通常有所不同，这样会简化故障排除，避免名称冲突Stub解析程序●所有程序都可使用的通用解析程序库49DNS特有的解析程序●host●从不读取/etc/nsswitch.conf文件●默认情况是在/etc/resolv.conf中查找nameserver和search行●默认仅给出最少量的输出●dig●从不读取/etc/nsswitch.conf文件●默认情况是在/etc/resolv.conf文件中只查找nameserver行●输出是RFC标准的区块文件格式，该格式被DNS服务器使用，从而使对查看DNS解析情况特别有用DNS特有的解析程序●host50使用dig来跟踪DNS查询●dig+trace●读取/etc/resolv.conf文件来判定名称服务器●查询根名称服务器●追随推荐服务器来查找名称记录（答复）●若培训中心的防火墙禁止输出的DNS，则参考注释中的输出示例●迭代（iterative）查询●初步观察结果：●名称被组织成一个倒转的树形结构，最顶端是根（.）●名称层次允许DNS跨越机构界限●记录中的名称若是完全确认的域名，就以一个点结尾使用dig来跟踪DNS查询●dig+trace51其它观察结果●在前一个跟踪中的答复使用资源记录（resourcesrecords）格式●每个资源记录都有五个字段：●domain–被查询的域或子域●ttl–记录被保存在缓存中的时间，以秒为单位●class–记录类别（通常是IN）●type–记录类型，例如A或NS●rdata–domain映射的资源数据●从概念上讲，用户会查询domain（域名），而domain则映射到rdata来查找答案●在跟踪示例中●推荐使用NS（名称服务器）记录●A（地址）记录是最终答复，也是dig命令的默认查询类型其它观察结果●在前一个跟踪中的答复使用资源记录（resou52正向查询●dig●首先试图递归，如输出中的flage（标志）部分用rd表示，如果名称服务器允许递归，那么服务器就会找到答案，将请求的记录返回给客户端●如果名称服务器不允许递归，那么服务器就推荐一个dig可以跟踪的上级域名●观察●dig的默认查询类型是A，它记录的rdata是一个IPv4地址●使用–tAAAA来请求IPv6rdata●若成功，dig返回一个NOERROR状态，一个答复计数，还会显示哪个名称服务器对这个名称最有权威正向查询●dig53逆向查询●dig–x0●观察●输出的问题部分显示了DNS逆转了地址的八进制数字，在记录的完整域名后面添加了.●答复部分显示了对于逆向查询，DNS使用PTR（指针）记录●此外，PTR记录的rdata是完整网络域名逆向查询●dig–x054邮件交换器查询●MX记录会将域映射到邮件服务器的完整网络域名●dit–tmx●观察●rdata字段被引伸为包括一个额外的叫做优先级（priority）的数据●优先级可以被当作是一个距离：网络优选短距离●要避免额外查询，名称服务器通常在额外答复中提供和MX记录中的FQDN相对应的A记录●MX记录和它相关A记录一起解析某个域的邮件服务器邮件交换器查询●MX记录会将域映射到邮件服务器的完整网络55SOA查询●SOA记录将一个服务器标记为主服务器●dig–tsoa●初步观察结果●域字段叫做始发地址●rdata字段被引伸为支持额外数据，下一个演示片对此进行了解释●一般说来，一个域通常有一个主名称服务器，它保存数据的主要副本●域或区块的其它规范性名称服务器被成为“从服务器”，它们会将其数据与主服务同步SOA查询●SOA记录将一个服务器标记为主服务器56SOArdata●主名称服务器的FQDN●联系邮件地址●系列号码●在检查系列号码前刷新延迟时间●从服务器的重试间隔●当从服务器无法联系它的服务器时，记录会过期●否定性答复（“nosuchhost”）的TTL最小值SOArdata●主名称服务器的FQDN57成为权威性服务器●SOA记录仅仅指出始发地址（域）的主服务器●成为权威性服务器的条件：●来自父域的授权：NS记录和A记录●域数据的本地副本，包括SOA记录●具备正确的授权，但是缺乏域数据的名称服务器被成为“欠缺服务器（lameserver）”成为权威性服务器●SOA记录仅仅指出始发地址（域）的主服58查询一切●dig–taxfr.@54●观察●该区块中的所有记录都被传送●记录中有很多内部网络资料●响应对于UDP来说太大，因此使用TCP来传送●多数服务器将区块传送局限于几个主机（通常是从服务器）●在从服务器上使用这个命令来测试主服务器的权限查询一切●dig–taxfr.59使用host来探察DNS●对于以下的查询，添加一个–v选项来以区块文件格式查看输出●跟踪：不可用●授权：host–rtns●强制迭代：host–r●逆向查询：host0●MX查询：host–tmx●SOA查询：host–tsoa●区块传送：host–taxfr54或host–tixfr=<系列号码>.54使用host来探察DNS●对于以下的查询，添加一个60到服务器的过渡●红帽企业版Linux使用BIND（BerkelyInternetNameDomain，伯克利互联网域名）●BIND是互联网上使用最广泛的DNS服务器●在一个稳定可靠的体系上建构域名和IP地址关联●对DNSRFC的参考实现●在chroot环境下运行到服务器的过渡●红帽企业版Linux使用BIND（B61服务侧写：DNS●类型：系统V（SystemV）管理的服务●软件包：bind、bind-utils、bind-chroot●守护进程：/usr/sbin/named、/usr/sbin/rndc●脚本：/etc/init.d/named●端口：53（domain），953（rndc）●配置文件：（/var/named/chroot/目录下）/etc/named.conf、/var/named/*、/etc/rndc.key●相关软件包：caching-nameserver、openssl服务侧写：DNS●类型：系统V（SystemV）管62访问控制侧写：BIND●Netfilter：进入流量tcp/udp端口53和953；输出流量tcp/udp临时端口●TCPWrapper：不适用

ldd‵whichnamed‵|greplibwrapstrings‵whichnamed‵|grephosts●Xinetd：不适用（named不是独立守护进程）●PAM：不适用（在/etc/pam.d/中没有配置）●SELinux：可用–参考注释●应用程序特有的控制：可用，稍后讨论

/usr/share/doc/bind-*/arm/Bv9ARM.{html,pdf}访问控制侧写：BIND●Netfilter：进入流量63BIND入门●安装软件包●bind提供核心二进制程序●bind-chroot提供安全性●caching-nameserver提供初始配置●进行启动配置●servicenamedconfigtest●servicenamedstart●chkconfignamedon●开始进行基本的named配置BIND入门●安装软件包64基本的named配置●配置stub解析程序●在/etc/named.conf中定义访问控制●提供客户端匹配列表●服务器接口：listen-on和listen-on-v6●应该允许哪些查询？●迭代：allow-query{match-list;};●递归：allow-recursion{match-list;};●传送：allow-transfer{match-list;};●通过区块文件添加数据●测试！基本的named配置●配置stub解析程序65配置Stub解析程序●在名称服务器上：●编辑/etc/resolv.conf来指定nameserver●编辑/etc/sysconfig/network-scripts/ifcfg-*来指定PEERDNS=no●优点●确保所有应用程序查询的一致性●简化访问控制和故障排除●除了/etc/resolv.conf以外，不具特权的用户还可以在哪里看到DHCP提供的名称服务器？配置Stub解析程序●在名称服务器上：66

bind-chroot软件包●在/var/named/chroot中安装chroot环境●将现有的配置文件转移到chroot环境，将原始文件替换成符号链接●更新/etc/sysconfig/named文件中的named选项：

ROOTDIR=/var/named/chroot●提示●安装了bind-chroot软件包后查看/etc/sysconfig/named文件●启动了named后运行ps–ef|grepnamed来校验启动选项bind-chroot软件包●在/var/named67

caching-nameserver软件包●提供●named.caching-nameserver.conf●named.ca包含根服务器的“提示”●用于本地机器名称和IP地址（如localhost.localdomain）正向和逆向查询的区块文件●提示●将named.caching-nameserver.conf复制为named.conf●将拥有者改成root：named●编辑named.conf文件●下面的内容将描述基本的访问指令caching-nameserver软件包●提供68地址匹配列表●使用分号间隔的IP地址列表或者与基于主机的访问控制安全性指令共同使用的子网列表●格式●IP地址：●后续的点：192.168.0.●CIDR：192.168.0/24●使用叹号（！）来代表相反的结果●按顺序检查匹配列表，找到第一个匹配后就停止●示例：{；192.168.0.；!/24；}；地址匹配列表●使用分号间隔的IP地址列表或者与基于主机69访问控制列表（ACL）●简单地说，ACL将一个名称分配给一个地址匹配列表●一般可以用来代替匹配列表（允许嵌套！）●最好的办法是在/etc/named.conf文件的开始处定义ACL●声明示例

acl“trusted”{1;};acl“classroom”{/24;trusted;};acl“cracker”{/24;};acl“mymasters”{54;};acl“myaddresses”{;;};访问控制列表（ACL）●简单地说，ACL将一个名称分配给70内置ACL●BIND预定义了四个ACL

none-不匹配任何IP地址any-匹配所有IP地址localhost-匹配名称服务器的任何IP地址localnets-匹配直接连接的网络●localhost内置ACL内置ACL和上一页的myaddresses例子有什么区别？（假定服务器具备多个始发地址）内置ACL●BIND预定义了四个ACL71服务器接口●选项：listen-onport53{<匹配列表>；}；●将named绑定到指定接口●示例：listen-onport53{myaddresses；}；listen-on-v6port53{::1；}；●重启并校验：netstat–tulpn|grepnamed●问题：●如果listen-on不包括怎么办？●将listen-on-v6改成::（所有的IPv6地址）会对IPv4有哪些影响？●默认：如果缺少listen-on配置，named就会监听所有接口服务器接口●选项：listen-onport53{72允许查询●选项：allow-query{<匹配列表>；}；●服务器为匹配列表中的客户端既提供权威答复也提供缓存的答复●示例：

allow-query{classroom；cracker；}；●默认：如果缺少allow-query配置，named就会允许一切查询允许查询●选项：allow-query{<匹配列表>73允许递归●选项：allow-recursion{<匹配列表>；}；●服务器代表匹配列表中的客户端来跟踪被推荐的服务器●示例：

allow-recursion{classroom；!cracker；}；●问题●如果1试图进行递归查询会发生什么情况？●如果试图进行递归查询会发生什么情况？●默认：如果缺少allow-recursion配置，named就会允许一切允许递归●选项：allow-recursion{<匹74允许传送●选项：allow-transfer{<匹配列表>；}；●匹配列表中的客户机可以充当从服务器●示例：

allow-transfer{!cracker；classroom；}；●问题●如果1试图进行从服务器传送会发生什么？●如果试图进行从服务器传送会发生什么？●默认：如果缺少allow-transfer配置，named就会允许一切允许传送●选项：allow-transfer{<匹配75修改BIND行为●选项：forwarders{<匹配列表>；}；●修改器：forwardfirst|only；●让named在追随推荐的服务器之前递归地查询指定的服务器●示例

forwarders{mymasters；}；forwardonly；●您该如何判定forwarders是否必要？●如果缺少forward修改程序，named就会假定它是第一个修改BIND行为●选项：forwarders{<76访问控制：结合使用●带有基本访问控制选项的/etc/named.conf文件示例：访问控制：结合使用●带有基本访问控制选项的/etc/n77从区块说明

zone“”{typeslave；masters{mymasters；}；file“salves/.zone”；}；●示范性区块说明让服务器：●充当的权威名称服务器，这里的是SOA记录的domain字段中指定的始发地址●充当该区块的从服务器●执行根据masters选项中的主机的区块文件传送（AXFR和IXFR）●将传送到的数据保存在/var/named/chroot/var/named/salves/.zone●重载named自动创建文件从区块说明zone“”{78主区块说明

zone“”{typemaster；file“.zone”；}；●示范性区块说明让服务器：●充当的权威名称服务器，这里的是SOA记录的domain字段中指定的始发地址●是这个区块的主文件●从/var/named/chroot/var/named/salves/.zone中读取主要数据●在重载named前手动创建主文件主区块说明zone“”{79创建区块文件●区块文件的内容：●记录集合，从SOA记录开始●