Centos下安装dns步骤.docx

在linux(Centos5.5)下安装dns及实现双线智能分析查看当前系统的版本和名称：rootbogon # uname -aLinux bogon 2.6.18-194.el5 #1 SMP Fri Apr 2 14:58:35 EDT 2010 i686 i686 i386 GNU/Linux在linux下装dns大都用bind9程序，bind9可从网络上下载安装，我们这里从linux系统光盘自带的bind9程序来安装，插入linux的系统安装盘并进入：rootbogon # cd /media/CentOS_5.5_Final/CentOS/查找出光盘里关于安装bind9的程序：rootbogon CentOS# find . -name bind* /关于find的命令自寻查找./bind-libbind-devel-9.3.6-4.P1.el5_4.2.i386.rpm./bind-9.3.6-4.P1.el5_4.2.i386.rpm./bind-chroot-9.3.6-4.P1.el5_4.2.i386.rpm./bind-devel-9.3.6-4.P1.el5_4.2.i386.rpm./bind-libs-9.3.6-4.P1.el5_4.2.i386.rpm./bind-sdb-9.3.6-4.P1.el5_4.2.i386.rpm./bind-utils-9.3.6-4.P1.el5_4.2.i386.rpm还有一个重要安装文件rootbogon CentOS# find -name cach*./caching-nameserver-9.3.6-4.P1.el5_4.2.i386.rpm 在根目录下创建一个文件夹并把安装包拷贝的新文件夹rootbogon CentOS# mkdir /softrootbogon CentOS# cp bind-libbind-devel-9.3.6-4.P1.el5_4.2.i386.rpm /soft/rootbogon CentOS# cp bind-9.3.6-4.P1.el5_4.2.i386.rpm /soft/rootbogon CentOS# cp bind-chroot-9.3.6-4.P1.el5_4.2.i386.rpm /soft/rootbogon CentOS# cp bind-devel-9.3.6-4.P1.el5_4.2.i386.rpm /soft/rootbogon CentOS# cp bind-libs-9.3.6-4.P1.el5_4.2.i386.rpm /soft/rootbogon CentOS# cp bind-sdb-9.3.6-4.P1.el5_4.2.i386.rpm /soft/rootbogon CentOS# cp bind-utils-9.3.6-4.P1.el5_4.2.i386.rpm /soft/rootbogon CentOS# cp kdebindings-3.5.4-6.el5.i386.rpm /soft/rootbogon CentOS# cp caching-nameserver-9.3.6-4.P1.el5_4.2.i386.rpm /soft/到/soft目录下可以看到拷贝过来的文件rootbogon CentOS# cd /soft/rootbogon soft# lsbind-9.3.6-4.P1.el5_4.2.i386.rpmbind-chroot-9.3.6-4.P1.el5_4.2.i386.rpmbind-devel-9.3.6-4.P1.el5_4.2.i386.rpmbind-libbind-devel-9.3.6-4.P1.el5_4.2.i386.rpmbind-libs-9.3.6-4.P1.el5_4.2.i386.rpmbind-sdb-9.3.6-4.P1.el5_4.2.i386.rpmbind-utils-9.3.6-4.P1.el5_4.2.i386.rpmcaching-nameserver-9.3.6-4.P1.el5_4.2.i386.rpmkdebindings-3.5.4-6.el5.i386.rpm查看系统已经安装的bind组件rootbogon soft# rpm -qa | grep bindypbind-1.19-12.el5bind-utils-9.3.6-4.P1.el5_4.2bind-libs-9.3.6-4.P1.el5_4.2从拷贝的文件里面安装还未安装的bind组件，最好全装一次： /rpm的命令自己研究rootbogon soft# rpm -ivh bind-9.3.6-4.P1.el5_4.2.i386.rpm warning: bind-9.3.6-4.P1.el5_4.2.i386.rpm: Header V3 DSA signature: NOKEY, key ID e8562897Preparing. # 100% 1:bind # 100%You have mail in /var/spool/mail/rootrootbogon soft# rpm -ivh bind-chroot-9.3.6-4.P1.el5_4.2.i386.rpm warning: bind-chroot-9.3.6-4.P1.el5_4.2.i386.rpm: Header V3 DSA signature: NOKEY, key ID e8562897Preparing. # 100% 1:bind-chroot # 100%rootbogon soft# rpm -ivh bind-devel-9.3.6-4.P1.el5_4.2.i386.rpm warning: bind-devel-9.3.6-4.P1.el5_4.2.i386.rpm: Header V3 DSA signature: NOKEY, key ID e8562897Preparing. # 100% 1:bind-devel # 100%rootbogon soft# rpm -ivh bind-libbind-devel-9.3.6-4.P1.el5_4.2.i386.rpm warning: bind-libbind-devel-9.3.6-4.P1.el5_4.2.i386.rpm: Header V3 DSA signature: NOKEY, key ID e8562897Preparing. # 100% 1:bind-libbind-devel # 100%rootbogon soft# rpm -ivh bind-sdb-9.3.6-4.P1.el5_4.2.i386.rpm warning: bind-sdb-9.3.6-4.P1.el5_4.2.i386.rpm: Header V3 DSA signature: NOKEY, key ID e8562897Preparing. # 100% 1:bind-sdb # 100%最后一个文件，也比较重要，主要是为什么增加bind的安全性rootbogon soft# rpm -ivh caching-nameserver-9.3.6-4.P1.el5_4.2.i386.rpm warning: caching-nameserver-9.3.6-4.P1.el5_4.2.i386.rpm: Header V3 DSA signature: NOKEY, key ID e8562897Preparing. # 100% 1:caching-nameserver # 100%安装完了后再次确认安装的bind组件，如有以下则表明大体正确：rootbogon soft# rpm -qa | grep bindbind-chroot-9.3.6-4.P1.el5_4.2ypbind-1.19-12.el5bind-utils-9.3.6-4.P1.el5_4.2bind-9.3.6-4.P1.el5_4.2bind-devel-9.3.6-4.P1.el5_4.2bind-sdb-9.3.6-4.P1.el5_4.2bind-libs-9.3.6-4.P1.el5_4.2bind-libbind-devel-9.3.6-4.P1.el5_4.2bind9提供了chroot机制，即改变根目录为相对根目录，这样bind9的所有配置文件都可在目录 ：/var/named/chroot下操作，这样黑客攻击dns的目录也只限于此，这是我在网上看的，不知道正确否。chroot是BIND的一种安装机制，使用chroot后，它会为BIND虚拟出一个/以及/etc等BIND需要使用的目录。这个虚拟的目录可通过/etc/sysconfig/named文件修改，但一般直接使用默认的虚拟目录即可。安装好bind9后，接下来就开始配置相关参数文档了，上面已经说了，bind9的主要配置文档都再/var/named/chroot这个目录下，rootbogon # cd /var/named/chroot/rootbogon chroot# lsdev etc var如目录所示，所有的参数文档都在etc和var/named/下面，下面就开始配置。配置之前，先大体说下bind的配置文件，bind主要有三个配置文件：全局配置文件：配置了dns的相关全局选择参数及需要调用的主配置文件，如果需要限制查询dns的客户端也在此文档中设置，如果需要配置dns智能双线分析，就是这样，即联通的用户来查询dns的时候返回的是网站的联通ip，电信用户来查询的时候返回的是电信ip。主配置文件：定义了可查询的域，并设置调用的每个区域对应的区域配置文件区域配置文件：定义了相关资源记录，即具体的网站域名和ip的对应明细在此文件中设置。由此可以看出，它们之间的关系还是非常的明确的，全局配置文件调用主配置文件，而主配置文件又调用区域配置文件，区域配置文件里面就是具体的解析记录，简单把。全局配置文件和主配置文件都在/var/named/chroot/etc目录下面区域配置文件在 /var/named.chroot/var/named目录下面，明了吧。我们进入/etc下面看看rootbogon # cd /var/named/chroot/etc/rootbogon etc# lslocaltime named.caching-nameserver.conf named.rfc1912.zones rndc.key看到了吧，named.caching-nameserver.conf就是全局配置文件，named.rfc1912.zones就是主配置文件，rndc.key是配置认证密码的，同志们自己去研究。我们一般不直接修改默认的配置文件，而是将默认的配置文件复制一份来修改，最终生效的也将是复制文件。rootbogon etc# cp -a named.caching-nameserver.conf named.conf /cp的命令自己研究rootbogon etc# lslocaltime named.caching-nameserver.conf named.conf named.rfc1912.zones rndc.keyrootbogon etc# vi named.conf /里面的参数大家自己去研究，还是很明了的，我主要说下view参数和acl的调用/这部分主要为解释部分/ named.caching-nameserver.conf/ Provided by Red Hat caching-nameserver package to configure the/ ISC BIND named(8) DNS server as a caching only nameserver/ (as a localhost DNS resolver only)./ See /usr/share/doc/bind*/sample/ for example named configuration files./ DO NOT EDIT THIS FILE - use system-config-bind or an editor/ to create named.conf - edits to this file will be lost on/ caching-nameserver package upgrade./include “/etc/tel.conf”; /调用acl文件，允许那些客户端访问，acl将在view用调用include “/etc/unicom.conf”; /我这里设置了电信和联通的acl文档，后面要讲。options listen-on port 53 ; ; /监听端口 listen-on-v6 port 53 :1; ; directory /var/named; dump-file /var/named/data/cache_dump.db; statistics-file /var/named/data/named_stats.txt; memstatistics-file /var/named/data/named_mem_stats.txt; / Those options should be used carefully because they disable port / randomization / query-source port 53; /轮询端口，取消注释 / query-source-v6 port 53; allow-query localhost; ; /改为any allow-query-cache localhost; ;logging channel default_debug file data/named.run; severity dynamic; ;/这是系统默认的view，一定要注释掉/*view localhost_resolver match-clients localhost; ; match-destinations localhost; ; recursion yes; include /etc/named.rfc1912.zones;*/自己添加适当的viewview /view后面的名字自己取，最好有意义就行 match-clients tel; ; /匹配客户端为tel这个acl列表，tel将在后面定义 match-destinations any; ; /匹配目的地址，自己考虑 recursion yes; include /etc/named.tel.zones; /调用的主配置文件，下面将定义;因为我是要作智能双线dns分析，所以还要定义个viewview /view后面的名字自己取，最好有意义就行 match-clients unicom; ; /匹配客户端为unicom这个acl列表，unicom将在后面定义 match-destinations any; ; /匹配目的地址，自己考虑 recursion yes; include /etc/named.unicom.zones; /调用的主配置文件，下面将定义;这里该设置主配置文件了，由于前面已经设置调用了两个主配置文件，所以：rootbogon etc# cp -a named.rfc1912.zones named.tel.zonesrootbogon etc# cp -a named.rfc1912.zones named.unicom.zonesrootbogon etc# lslocaltime named.conf named.tel.zones rndc.keynamed.caching-nameserver.conf named.rfc1912.zones named.unicom.zones现在named.rfc1912.zones named.unicom.zones named.tel.zones三个文档的内容是完全一样的，系统默认的文档不用管，修改后面两个文档就可以了，因为我是要做双线，所以是两个文档，如果你只有一个域名，不需要做双线的话，就只复制一个就ok了。rootbogon etc# vi named.tel.zones/关于里面的参数大家自己去找资料来看啦，不能一一解释/zone 区域配置一般是成对的，正解和反解/ named.rfc1912.zones:/ Provided by Red Hat caching-nameserver package/ ISC BIND named zone configuration for zones recommended by/ RFC 1912 section 4.1 : localhost TLDs and address zones/ See /usr/share/doc/bind*/sample/ for example named configuration files./zone . IN type hint; /root区域 file named.ca;zone localdomain IN type master; file localdomain.zone; allow-update none; ;zone localhost IN type master; file localhost.zone; allow-update none; ;zone 0.0.127. IN zone localdomain IN type master; file localdomain.zone; allow-update none; ;zone localhost IN type master; file localhost.zone; allow-update none; ;zone 0.0.127. IN type master; file named.local; allow-update none; ;zone .......0.0.0. IN type master; file named.ip6.local; allow-update none; ;zone 255. IN type master; file named.broadcast; allow-update none; ;zone 0. IN type master; file named.zero; allow-update none; ;/下面就是我在此文档里面添加的内容：zone IN /这里的wlkst应该是域名，不能乱写 type master; /type为master，dns也是讲主备的，各位研究 file ; /调用的区域配置文件，只是个文件名，并不是真的域名 allow-update none; ;zone 11.180.222. IN /上面正解的反解，ip一定要反写，只要前三位 type master; file 222.180.11.zone /这里只是反解得文件名而已 allow-update none; ;同样，在vi named.unicom.zones文档里也填加相似的内容，只是调用的文件不一样zone IN /这里的wlkst应该是域名，不能乱写 type master; /type为master，dns也是讲主备的，各位研究 file ; /调用的区域配置文件，只是个文件名，并不是真的域名 allow-update none; ;zone 168.146.123. IN /上面正解的反解，ip一定要反写，只要前三位 type master; file 123.146.168.zone /这里只是反解得文件名而已 allow-update none; ;到这里，全局配置文件和主配置文件都配置好了，是不是还遗落上面呢，对啦，还有个acl列表没有配置，如果你不需要智能双线分析，就不需要这步啦，当然，前面全局配置文件里面的acl也就要删除了。Acl也就是两个普通的文档，只是里面的ip很多，所以最好在本地电脑编辑好后再ssh ftp上传上去就可以了，只是名称一定要和前面调用的名称一致，目录也是放在etc下，它的格式是这样的，/这里的tel是前面全局配置文件里match-clients tel; ;所调用的tel，而这个文档本身的文件名 tel.conf是全局配置文档include “/etc/tel.conf”; 这里调用Acl “tel” /14;/15;/15;/15;。;直接这样排列走就完了，关于电信和联通的全国ip段，这个网址有最全最新的：/ct_ros_ip.html/cu_ros_ip.html接下来就可以开始配置区域配置文件了，区域配置文件在/var/named/chroot/var/named下面。rootdns # cd /var/named/chroot/var/named/rootdns named# lslocaldomain.zone named.ca named.zero localhost.zone named.ip6.local slavesdata named.broadcast named.local 如上就是系统默有的文档。localdomain.zone就是正解文档模板，named.local就是反解文档的模板所以：rootdns named#cp a localdomain.zone /这里的就是上面主配置文件里面调用的file ;rootdns named#cp a named.local 222.180.11.zone /这里的222.180.11.zone 就是上面主配置文件反解调用的file 222.180.11.zone同理，要做双线的话，再复制一个unicom的文档现在开始看看这个正解文档rootdns named#vi $TTL 86400 IN SOA localhost root ( 42 ; serial (d. adams) 3H ; ref