Linux基础与服务管理电子教案 28-DNS服务

Linux操作系统教案（28）教学标题项目十DNS服务配置授课班级课时2场地机房时间星期三授课教师唐乾林教学设计1.项目/任务价值DNS服务器的配置与管理2.学习目标知识目标1能利用讲授的课程学习方法学习本课程；2能准确表达出DNS的概念；3熟悉DNS服务器的基本术语能力目标1能能配置DNS服务器；2掌握DNS服务器的安装和启停控制思政-素质目标1线上线下结合，引导学习方式，培养自主学习能力；2培养学生积极探索、勇于创新的科学素养；3养成小组沟通协作共同学习，解决问题能力和团队合作精神；4能按照实训6S管理要求做好课前的准备，课后的整理工作，培养勤俭、奋斗、创新、奉献的劳动精神；5适当讲述励志小故事，正向引导学生的价值观3.学习内容1任务描述2知识准备：课程的导学；DNS服务配置的概念、DNS服务架构3任务实施：DNS服务安装、配置、启动、客户端配置4重点：DNS服务的安装、配置5难点：DNS服务配置4.学习资源重电超星网课平台，多媒体课件，理实一体化实训室实物：教材教学实施过程教学环节学生、教师活动教学方法、手段及思政设计时间分配课程导学：通过一些应用实例导入本课程，如：上网不用IP地址，而用域名明确学习目标学习要求：预习+认真+复习+用心互动问题讨论列举生活中一些实际应用，引导学生联系生活中计算机应用案例，激发学生的学习兴趣多媒体演示信息调研讲授、讨论、案例教学课前发布导学单，线上线下结合，引导学习方式转变，培养自主学习能力。小组协作、沟通、互助学习，培育团队合作意识。5复习旧课，引入学习内容在互联网上的每一个计算机都拥有一个唯一的地址，称作“IP地址”，但是在Internet上浏览网站时，大都使用的是便于用户记忆的称之为主机域名，或叫主机名的友好名字而不是IP地址。例如，用户在访问“百度”的时候一般都是使用访问，而很少有人会使用其IP地址09。但是，在互联网中只能通过IP地址寻找和识别目标主机，这就需要首先把目标主机的域名转换成IP地址。用于存储主机域名和IP地址对应关系并接受客户端查询的计算机被称为DNS（DomainNameSystem）服务器。DNS客户端向DNS服务器提出查询，DNS服务器作出响应的过程称为域名解析。提问，讨论，激发学习兴趣多媒体演示信息调研讲授、讨论、案例教学课前发布导学单，线上线下结合，引导学习方式转变，培养自主学习能力。5教学内容：了解域名解析服务工作原理（1）DNS系统结构与管理InterNIC负责划分数据库的名字信息。树根（也称根域）下是顶级域（或称一级），再往下是二级、三级域。单靠几台DNS服务器肯定不能满足全球用户的需求，所以从工作形式上DNS服务器又分主服务器、从服务器（辅助服务器）、缓存服务器。（2）．DNS解析与工作流程（3）递归查询和迭代查询1）递归查询。递归查询：DNS客户机只发出一次请求，就能得到结果（查询的到或查询不到）。DNS客户机向LocalDNS发起查询请求时，用的是递归查询。如果LocalDNS没有开启递归功能，那么本地DNS服务器如果没有结果，则直接返回查询不到，而不会进行迭代查询去获取结果。一般LocalDNS都会开启递归功能（recursionyes;），而某个域的权威DNS一般只对内开启递归，对外关闭。所谓的LocalDNS不一定指你的内网DNS，像我们平常上网设置的14、或者联通电信的DNS，都可以叫LocalDNS，这类DNS也叫缓存DNS，即将迭代查询得到的结果缓存到本地，当有其他用户请求同一个域名解析时直接调取缓存，加速DNS查询速度，毕竟迭代查询还是很慢和消耗资源的。权威DNS就是管理某个域的DNS，即迭代查询给出最终答案的那台DNS。平常DNS客户机去LocalDNS解析域名拿到的一般都是非权威应答，即LocalDNS直接从缓存中查询结果，然后将结果返回。2）迭代查询。DNS服务器之间的查询是迭代查询，在该模式下通常要发出多次请求才能得到答案。迭代查询又称重指引，当DNS服务器使用迭代查询时能够使其他DNS服务器返回一个最佳的查询点提示或主机地址，若此最佳的查询点中包含需要查询的主机地址，则返回主机地址信息，若不能够直接查询到主机地址，则是按照提示的指引依次查询，直到服务器给出的提示中包含所需要查询的主机地址为止。一般的，每次指引都会更靠近根服务器（向上），查寻到根域名服务器后，则会再次根据提示向下查找。（4）DNS的查询顺序DNS服务器在域名解析过程中的详细的请求的顺序为：客户端Host文件、客户端缓存、服务器区域文件、转发域名服务器、根域名服务器。1）如果查询请求是本机所负责区域中的数据的话，要通过查询区域数据文件返回结果，这样获得的就是权威应答；2）如果查询请求不是本机所负责区域中的数据的话，就查询缓存，有答案则返回结果，这样获得的是非权威应答；3）如果缓存中没有答案，则向根发起查询请求（前提是开启了递归），根返回负责.com的DNS的记录NS和A记录，如此迭代查询直到获得结果。2.安装Bind服务程序BIND，即BerkeleyInternetNameDaemon，伯克利互联网域名服务是一款全球互联网使用最广泛的能够提供安全可靠、快捷高效的域名解析服务程序，13台根DNS服务器以及互联网中的DNS服务器绝大多数，超过95%是基于BIND服务程序搭建的。BIND服务程序为了能够安全的提供解析服务而支持了TSIG（TSIGRFC2845）加密机制，TSIG主要是利用密码编码方式保护区域信息的传送（ZoneTransfer），也就是说保证了DNS服务器之间传送区域信息的安全。并且，Bind服务程序还支持chroot（changeroot）监牢安全机制，chroot机制会限制bind服务程序仅能对自身配置文件进行操作，从而保证了整个服务器的安全。BIND包括一个用来将域名解析为IP的DNS服务器软件，一个解析库，以及一个DNS测试工具程序。要配置DNS服务器，先要在Linux系统中使用命令查看bind和bind-libs是否已经安装，如果没有安装必须事先安装好。[root@rhel7~]#rpm-qa|grepbindbind-utils-9.9.4-14.el7.x86_64//提供了对DNS服务器的测试工具程序，如nslookup、dig等。bind-license-9.9.4-14.el7.noarchbind-libs-9.9.4-14.el7.x86_64bind-chroot-9.9.4-14.el7.x86_64//提供一个伪装的根目录/var/named/chroot/以增强安全性。bind-libs-lite-9.9.4-14.el7.x86_64bind-9.9.4-14.el7.x86_64//提供了域名服务的主要程序及相关文件。BIND软件包安装后，系统将创建名为named的用户和用户组，并自动设置相关目录的权属关系。named守护进程默认使用named用户身份运行。[root@rhel7~]#grepnamed/etc/passwdnamed:x:25:25:Named:/var/named:/sbin/nologin[root@rhel7~]#grepnamed/etc/groupnamed:x:25:如果是利用源代码安装，还应该手工创建named用户和用户组，并设置好工作目录（/var/named）和用于存放进程号文件的目录（/var/run/named）的所有者和权限。[root@rhel7~]#ll/var/named/-ddrwxr-x.6rootnamed40963月12017/var/named/[root@rhel7~]#ll/var/run/named/-ddrwxr-xr-x.2namednamed8012月2700:32/var/run/named/配置文件的目录：没有安装bind-chroot软件包，配置文件为/etc/named.conf，数据文件在/var/named目录下。如果安装并使用bind-chroot，则配置文件为/var/named/chroot/etc/named.conf，默认没有，数据文件在/var/named/chroot/var/named目录下。3．BIND启停控制named作为标准的系统服务脚本，通过“systemctlstart/restart/stopnamed.service”的形式可以实现对服务器程序的控制。named默认监听TCP、UDP协议的53端口，以及TCP的953端口：其中UDP53端口一般对所有客户机开放，以提供解析服务；TCP53端口一般只对特定从域名服务器开放，提高解析记录传输通道；TCP953端口默认只对本机（）开放，用于为rndc远程管理工具提供控制通道。4．开启防火墙并允许访问bind[root@rhel7~]#firewall-cmd--add-service=dns--permanentsuccess//通过指定服务名开放dns服务，--permanent选项表示永远生效。[root@rhel7~]#firewall-cmd--zone=public--add-port=53/udp--permanent[root@rhel7~]#firewall-cmd--reload5．关闭SELinux对bind守护进程的保护[root@rhel7~]#setsebool-Pnamed_disable_trans1[root@rhel7~]#systemctlrestartnamed列举实例小组讨论如何设置小范围局域网？多媒体演示启发式教学正常使用电脑一丝不苟、规范操作（根据实际情况引入思政）一丝不苟、规范操作（根据实际情况引入思政）35扩展：详解named.conf配置文件[root@rhel7~]#rpm-qf/etc/named.conf//查询主配置文件由哪个程序生成。bind-9.9.4-14.el7.x86_64[root@rhel7~]#more/etc/named.conf////named.conf////ProvidedbyRedHatbindpackagetoconfiguretheISCBINDnamed(8)DNS//serverasacachingonlynameserver(asalocalhostDNSresolveronly).//由RedHat提供，将ISCBINDnamed(8)DNS服务器//配置为暂存域名服务器(用来做本地DNS解析).////See/usr/share/doc/bind*/sample/forexamplenamedconfigurationfiles.//该目录中可以查看named配置案例//第一部分：全局设置。options{ listen-onport53{;}; listen-on-v6port53{::1;}; directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file"/var/named/data/named_stats.txt"; memstatistics-file"/var/named/data/named_mem_stats.txt"; allow-query{localhost;}; /* -IfyouarebuildinganAUTHORITATIVEDNSserver,doNOTenablerecursion. -IfyouarebuildingaRECURSIVE(caching)DNSserver,youneedtoenable recursion. -IfyourrecursiveDNSserverhasapublicIPaddress,youMUSTenableaccess controltolimitqueriestoyourlegitimateusers.Failingtodosowill causeyourservertobecomepartoflargescaleDNSamplification attacks.ImplementingBCP38withinyournetworkwouldgreatly reducesuchattacksurface *//*-如果你要建立一个授权域名服务器，那么不要开启recursion（递归）功能。-如果你要建立一个递归DNS服务器，那么需要开启recursion功能。-如果你的递归DNS服务器有公网IP地址，你必须开启访问控制功能，只有那些合法用户才可以发询问。如果不这么做的话，那么你的服服务就会受到DNS放大攻击。实现BCP38将有效抵御这类攻击。*/ recursionyes; dnssec-enableyes; dnssec-validationyes; dnssec-lookasideauto; /*PathtoISC