RHCE課程DNS服務(wù)器架構(gòu)

2017-03-27

23999

RHCE 課程-RH253Linux 服務(wù)器架設(shè)筆記五-DNS 服務(wù)器配置在LINUX 下面架設(shè)DNS 服務(wù)器，不知道DNS 解析原理，根本會了和不會沒區(qū)別,網(wǎng)絡(luò)中為了區(qū)別各個主機(jī)，必須為每臺主機(jī)分配

RHCE 課程-RH253Linux 服務(wù)器架設(shè)筆記五-DNS 服務(wù)器配置

在LINUX 下面架設(shè)DNS 服務(wù)器，不知道DNS 解析原理，根本會了和不會沒區(qū)別,

網(wǎng)絡(luò)中為了區(qū)別各個主機(jī)，必須為每臺主機(jī)分配一個惟一的地址，這個地址即稱為“IP地址”。但這些數(shù)字難以記憶，所以就采用“域名”的方式來取代這些數(shù)字了。

當(dāng)某臺主機(jī)要與其他主機(jī)通信時，就可以利用主機(jī)名稱向DNS 服務(wù)器查詢該主機(jī)的IP 地址，所以我們的網(wǎng)卡要上網(wǎng)至少要3個信息，IP 地址，網(wǎng)關(guān)，DNS 服務(wù)器地址。

DNS 的組織結(jié)構(gòu)

這個就是DNS 的組織結(jié)構(gòu)，最上面是根域名 dot ，全球13臺根域服務(wù)器，沒有一臺在中國，因為中國網(wǎng)絡(luò)發(fā)展，起步遲。而且所有的dot DNS 服務(wù)器都是bind 軟件架設(shè)的，我們今天要學(xué)習(xí)的也是bind 軟件。全球70的大型DNS 服務(wù)器都是基于bind 軟件。

常見的頂級域服務(wù)器

我國的頂級域也就只有cn

DNS 解析過程

我給大家解釋下，比如解析[url]www.redhat.com[/url]，第一步，查詢本地host 文件和緩存有沒有這個記錄，有就直接解析，沒有就訪問DNS 服務(wù)器，如果DNS 服務(wù)器上沒或者redhat.com 不在你訪問的DNS 服務(wù)器管理區(qū)域內(nèi)，那么DNS 服務(wù)器就會向dot 根域名服務(wù)器發(fā)遞歸查詢, 如果找到了記錄了，DNS 就會返回給client ，并且把記錄保存在自己緩存里，下次有client 請求，他就會調(diào)用自己的緩存，直到這條記錄的生存期結(jié)束, 就會丟棄這條記錄。

根域名服務(wù)器就13臺域名服務(wù)器，他負(fù)責(zé)管理頂級域。頂級域負(fù)責(zé)管理二級域，我們現(xiàn)在申請的一般是2級域名-3級域名。比如michael.com ,michael.com .cn 哈~michael.com是2級域名，michael.com .cn 是3級域名，michael.com .cn. 這個就是FQDN 。

本周我們要學(xué)習(xí)的內(nèi)容

主配置文件

設(shè)置根區(qū)域

設(shè)置主區(qū)域

設(shè)置反向解析區(qū)域

根服務(wù)器信息文件named.ca

區(qū)域文件

反向解析區(qū)域文件

實現(xiàn)負(fù)載均衡功能

實現(xiàn)直接解析域名

實現(xiàn)泛域名的解析

主要名稱服務(wù)器的測試

配置輔助域名服務(wù)器

配置緩存域名服務(wù)器

我們申請的是域名，然后你去管理你的域名，自己添加主機(jī)記錄哈~

其實michael.cn 是域名, 前面的主機(jī)記錄隨便你怎么寫,abc.m ichael.cn 也行,jfajldjfklajdfkl jaklf.michael.cn 也行,michael.com 是域名,www 是主機(jī)。

比如[url]www.redhat.com[/url]，[url]www.redhat.com.[/url] 最后點是根域名，然后c om 是頂級域名，redhat 是二級域名，www 是主機(jī)記錄，如果你要說是域名也可以，那么主機(jī)就改成是了，在選擇域名時必須符合RCF 1123中的規(guī)定：域名由所有大寫字母（A ～Z ）、小寫字母（a ～z ）、數(shù)字（0～9）和連字符（-）組成。由于很多域名商，所以現(xiàn)在想申請到好的2及域名是不可能了，域名大小寫不敏感。

每臺主機(jī)都有一個host 文件，負(fù)責(zé)IP 地址的域名快速解析的文件，文件以ASCII 格式保存在“/etc”目錄下，文件名為“hosts”，hosts 文件包含了IP 地址和主機(jī)名之間的映射，還包括主機(jī)名的別名。

hosts 文件的格式如下：

IP 地址主機(jī)名/域名主機(jī)別名

windows 下也有hosts 文件，

C:WINDOWSsystem32driversetc

可以使用記事本打開

如果host 里有記錄就會優(yōu)先使用，這個文件也是黑客，和病毒軟件攻擊你的一個入口，如果某個病毒軟件在這個文件添加一個記錄202.23.23.1 [url]www.163.com[/url]，然而前面這個IP 地址是帶有病毒的而已網(wǎng)站，或者是釣魚攻擊，你可能就會出問題，所以這個文件一般修改成只讀，還有些第三方軟件，為了防止一些木馬之類的病毒，會把一些有問題的網(wǎng)站在自理定義，解析成127.0.0.1，這樣你就不會訪問到這些網(wǎng)站，360就會這么干哈~

linux 也有這個文件

/etc/hosts

好了，下面介紹下bind 軟件,Linux 下架設(shè)DNS 服務(wù)器通常是使用Bind 程序來實現(xiàn)的。 Bind 是Berkeley Internet Name Domain Service 的簡寫，它是一款實現(xiàn)DNS 服務(wù)器的開放源碼軟件。Bind 原本是美國DARPA 資助伯克里大學(xué)（Berkeley ）開設(shè)的一個研究生課題，后來經(jīng)過多年的變化發(fā)展，已經(jīng)成為世界上使用最為廣泛的DNS 服務(wù)器軟件，目前Internet 上絕大多數(shù)的DNS 服務(wù)器有都是用Bind 來架設(shè)的。

DNS 服務(wù)介紹

后臺進(jìn)程：named

腳本：/etc/rc.d/init.d/named

使用端口：53（tcp ，udp ）

所需RPM 包：bind-9.3.3-10.el5

相關(guān)RPM 包：bind-chroot

caching-nameserver

配置文件：/var/named/chroot/etc/named.conf

相關(guān)路徑：/var/named/

1990年以后，bind-chroot 增加了bind 服務(wù)器的安全性, 早期Linux 服務(wù)都是以root 權(quán)限啟動和運行的，隨著技術(shù)的發(fā)展，各種服務(wù)變得越來越復(fù)雜，導(dǎo)致BUG 和漏洞越來越多。黑客利用服務(wù)的漏洞入侵系統(tǒng)，能獲得root 級別的權(quán)限，從而控制整個系統(tǒng)。

為了減緩這種攻擊所帶來的負(fù)面影響，現(xiàn)在服務(wù)器軟件通常設(shè)計為以root 權(quán)限啟動，然后服務(wù)器進(jìn)程自行放棄root ，再以某個低權(quán)限的系統(tǒng)賬號來運行進(jìn)程。這種方式的好處在于該服務(wù)被攻擊者利用漏洞入侵時，由于進(jìn)程權(quán)限很低，攻擊者得到的訪問權(quán)限又是基于這個較低權(quán)限。 bind 的主配置文件/etc/named.conf ，我們先安裝bind 服務(wù)器

[root@rhel5 ~]# rpm -ivh /mnt/cdrom/Server/bind-9.3.3-10.el5.i386.rpm

warning: /mnt/cdrom/Server/bind-9.3.3-10.el5.i386.rpm: Header V3 DSA signa ture: NOKEY, key ID 37017186