中级134dns域名解析使用Bind提供服务

使用Bind提供解析服本章节学习DNSDNSBIND服务程序支持安全加密传输机制，从而保障解析数据不被本 结了解解析服安装BindDNSDNS一、DNS1.1DNS一般来讲比IP地址更加的有含义、也更容易记住，所以通常用户更习惯输入来网络中的资源，但是计算机主机在互联网中只能通过IP识别对方主机，那么就需要DNS解析服务了。DNS（NameSystem的缩写）的作用非常简单，就是根据查IP地址。你可以把它想象成一本巨大 本举例来说，如果你要math （，首先要通过DNS查出它的IP地址是9。如果你不清楚为什么一定要查出IP《互联网协议》这篇文章DNSDNS网络出现的早期是使用IP地址通讯的，那时就几台主机通讯。但是随着接入网络主机的增多，这种数字标识的地址非常不便于，UNIX上就出现了建立一个叫做hosts的文件（Linux和Windows也继承保留了这个文件这个文件中记录着主机名称和IP地址的对应表。这样只要输入主机名称，系统就会去加载hosts文件并查找对应关系，找到对应的IP，就可以这个IP的主机了。但是后来主机太多了，无法保证所有人都能拿到统一的的hosts文件，就出现了在文件服务器上集中存放hosts文件以供使用互联网规模进一步扩大，这种方式也重负，而且把所有地址解析记录形成的文件都同步到所有的客户机似乎也不是一个好办法。这时DNS系统出现了，随着解析规模的继续扩大，DNS系统也在不断的演化，直到现今的多层架构体系。/etc/hosts/etc/hosts在没有DNS服务器的情况下IP在Linux系统中，这个列表就是/etc/hosts文件。即使你没有DNS服务器或DNSetc/hostsIPDNSDNSIPDNS询任何DNS服务器直接将其转换为IP地址。现在有两台主机node1（00）试试编辑两台主机node1和node2etc/hosts0000测试两台主机的网络连通性，可以用00，0node2得到网络的反馈信息了。这就是/etc/hosts文件帮我们做了地址和主DNSDNSDNS（NameSystem，系统，因特网上作为和IP地址相够被机器直接的IP数串。通过主机名，最终得到该主机名对应的IP地址的过程叫做解析（或主机名解析。DNS协议运行在UDP协议之上，使用端53。DNS的分布式数据库是以为索引的，每个实际上就是一棵很大的space最大深度不得超过127层，树中每个节点都有一个可以长达63个字符的文本1.2的层DNS服务器怎么会知道每个的IP地址呢？答案是分级查询。比如 显示为 TLD再下一级叫做"次级"（second- SLD，里面的.example，这一级是用户可以的（host 里面的www，又称总结一下，的层级结构如下#即当你时，你可以输入FQDN（FullyQualifiedName，完全 的同一个ip地址3主机 类①类 标志着该的类型 、edu、org等②域的名称，如上面的③主机 域里面一台主机的名字，如www这台主其实严格的来说 后面还有一个"."，所以完整 应该comwwwcomwww 一样。该点被称为根域。该点是由一大堆称为根服务器的特殊服务器管理的截止这篇文章前，世界上有13个根服务器，你可以把他们当成互联网的大脑—如果他们为什么是13呢？因为如果世界的某处可能会破坏一个根服务器，所这些根名称服务器按字母顺序命名，名称如、b.root-等。使用DNS时，务必分清楚一些用于指示DNS层次结构的常见术语，如、sub和zone。域域域是资源记录的集合，这些资源记录以公用名称结尾并且表示DNS名称空间的整个，如 。最大的可能域是root域“.”,这包括整个DNS名称空我们已经见过顶 为800多个顶级顶级类别有通用的顶级如：org,.com,.net, ,.edu等国家代码顶级如：.us,.ca等，分别对应和的国家代新的品牌顶级，允许组织创建最多 64个字符的 TLD，如：.linux,.,. name等基础架构顶级如：子子当你一个类似 这样的网站,这里的mail就是 的名称服务器知道他下面存在的所有主机，所以会回复是否有一个叫mail的子。根名称服务器对此并不知情。系统需要使用DNS系统需要使用DNS首先向/etc/resolv.conf或dig命令可用于手动查询DNS名称。当查询到达DNS服务器当查询到达DNS服务器时，服务器首先确定正在查询的信息（aa答案在DNSaa的如果如果DNS该答案提供给客户端。此答案将不会设置aa有。如果如果DNSDNS存中占有记录，DNS通过称为递归的迭代过程来检索记录具有空缓存的DNS服务器将按照其从本地预填充根hints文件中检索的用响应这表明名称服务器对于包含所查询名称的TLD具有后，DNS的。器将发 答案或者另一 服务器答案做出响应最终答案以及在最终答案之前获取的所有中间答案都将由DNS服务器进行非 期间，DNS服务器发现 有名称服务器，则它将针对任何将来查询直接查询这些服务器以获二、DNS资源记录类型在DNS服务器上，DNS的信息都是通过一个叫做资源记录(RRSOASOADNS每个区域正好有一个SOA记录。其指定区域的哪个名称服务器是主要名称CNAME和TXTSOA：起 机构记且可能会接受动态DNS更新（如果区域支撑）（hostmaster@将替换为 中的“.”例如，电子邮件地址 从服务器应检查区域更新的频率（以秒为单位从服务器在重试失败的刷新之前应等待的时间（以秒为单位如果解析器查找某个名称并且该名称不存在（ 缓存的持续时间（以秒为单位SOA记录按如下形式开始描述一个站点的DNS1 .2386400;refresh,47200;retry,5;expire,686400;minimum,7)第一行以开始，以句号结束——该语句和/etc/named.conf文件中的区域定义是一致的。我们要始终记得，DNS配置文件是极其挑剔的。IN告诉服务器：这是一条网络记录SOA告诉服务器：这是一条起始机构记录.是该文件所在域的 QualifiedName)。.是域管理员的邮箱地址。你会发现这个邮箱地址没有“@”标志，第2行是一个序列码，它被用来告诉服务器文件是什么时候升级的。因此，YYYYMMDDxx，其中的xx是从00开始的。第3行是每秒刷新率这个值被用来告诉第二个服务器查询主服务器中的记第4行是每秒重试的频率如果第二个服务器多次尝试连接主服务器来进行NSNSNameServerRecordsNS记录用于指定哪个名称服务器该域的记录。你可以这样编写的NS记录：....host-v-tNS映射到DNS名称服务器，而后者对其NS映射到DNS名称服务器，而后者对其DNSNSAA和AAAA:AddressRecords（地址记录AIPv4supportINA如果你在地址为上的 上有一个主机，你可PTR:PointerRecords（指针记录PTR:PointerRecords（指针记录PTR记录用于执行反向名称解析允许指定IP地址然后找出对应的主机名。这与A记录的功能相反：INPTRs PTRPTR执行反向DNS指定IP这与A记录的功能相反：INPTR host-v-tPTRMX:MailExchangeRecords（邮件交换记录MX.INMX10此记录类型的数据是一个优先级编号（最低优先级（用于确定在多个此记录类型的数据是一个优先级编号（最低优先级（用于确定在多个记录之间进行选取时的顺序）host-v-tCNAMECNAMECanonicalName CNAME假设某个站点具有一个主机名为whatever-big 的Web服务器并且由于系统是Web服务器因此可以为主机创建一个名为www的CNAME的CNAME whatever- 第一行通知DNSwwwTXTTXT您可以将任何信息到TXT记录中，例如你的或者你希望人们在查询DNS服务器时可获得的任意其他信息。你可以这样保存TXT记录 .INTXT”YOURINFOGOES此外，RP记录被创建为对host联系信息的显式容器 .IN DNSDNSTTL在/etc/named.conf$TTL该条目告诉BIND每个单独记录的TTL（timetolive，生存时间值你的域文件4个小时，之后就会向你的DNS服务器重新查询。你可以从日志诊断LinuxDNSBINDvar/log/messages的错误，可以使用tail命令来查错误日志，须使用-f选项：$tail-fetc/named.configHostHost在你成功添加或修改记录后，可以使用hosthost命令允许你将主机名解析为IP地址：$host 此外，你可以执行反向查找：$host。CNAME:CNAME:CanonicalNameCNAME为主机名创建别名CNAME（规范名称A或AAAADNSCNAMEDNSCNAME记录的数据字段可以指向DNSw CNAME记录很有用，但在使用时应。通常，出于效率和脆弱性的原因，应避免将CNAM记录指向其他CNAM记录，从而也可以避免意外创建CNAM循环。CNAME记录链必须已A和/或AAAA记录结束。可靠性时，可以合法使用CNAME链。同样地，NSMXCNAMEA和/或AAAASRV（服务）SRV和此SRV域在主机389使用TCP来提供LDAP0100我们已经知道LinuxDNS我们已经知道LinuxDNS是与DNS（DNSIP）在Linux上，解析器位于DNS的客户端。要配置解析器，可以检查/etc/resolv.confnameserverIP名称服务器行告诉解析器哪个名称服务器可使用。只要你的BIND服务正在运行，你就可以使用自己的DNS服务器。AA.(对于MX记录，后面的一定要写完整，即最后的.也要加上AIPv4AIPv4ADNSIP地IPv6（mailNS记录，用于标识区域的DNS服务器，即是说负责此DNS区域的名称服务器，用哪一台DNS服务器来解析该区域。一个区域有可能有多条ns记录，例如 用于一个区域的开始，SOA记录后的所有信息均是用于控制这个须是其中的第一个资源记录，用以标识DNS服务器管理的起始位置，SOA说明能解析这个区域的dns 主DNS服务主机将FQND映射到 正向解2个特殊的 表示泛与泛解别名将A记录指向的指向另外一邮件交换器当前区域内SMTP名称服务器反向解析将IP解析为包含区域的信息，如电子邮件联系人以及用于配置主、从DNS服务器之间的交互的值将主机名映射到Ipv4A识别区域的名称服务将主机名映射到Ipv6IP逆向DNSSPF和三、DNSIPIPDNS解析服务(NameSystem)是用于解析与IPIPIP递归查询:用于递归查询:用于DNS迭代查询DNSDNS①迭代查询 tive②递归查询(Recursive我们看到迭代查询时本地DNSServer会首先向.DNSServer发出请求，此时.DNSServer会返回给本地DNSServercom的DNSServer，这样依次类推 的ip地址返回，而递归查询，则只是本地DNSServer向.DNSServer发出一个请求然后解析IP是交给了其下属的DNSServer来完成最后将IP地址返回由于递归查询在每个DNSServer上会有缓存信息，所以一般我们都是使用两种查询方式相结合的方式来进行DNS查询的互联网DNS模型——采用分布式数据结构保存海量区域数据信息，用DNS首先，客户端先在本地缓存查找有没有缓存，如果没有，客户端发DNS请求翻译IP地址或主机名。检查DNS服务器的缓存，若查到请求的地址或名字，即向客户机发出应检查DNS服务器的缓存，若查到请求的地址或名字，即向客户机发出应DNS户机所在网络的DNS服务器发出应答信息，DNS服务器收到应答后现在缓存IPABCPSINetDEFIPABCPSINetDEFGHIJKRIPELMWIDE全球网民数量据说已经要超过了35亿，而且还在以每年10%的速度飞速增长，假设每个网民每天只一个，而且只一次，那么也会产生出35亿次DNS作为互联网基础设施服务①主服务器PrimaryDNSServer(Master)：就是一台 着原始资料的DNS服 与IP地址对应关系。主DNS服务器知道全部在它管辖范围的主机 zoneDNS②从服务器SecondaryDNSServer(Slave)：使用自动更新方式从主DNS服务器同步数据的DNS服务器。也成辅助DNS服务器。从主服务器中获得与IP地址对应关系并，以防主服务器宕机等情况。主服务器知道辅助DNS服务器的存在，并且会向他们推送更新。的修改只能在主DNS服务器上进行，所有的修改都有主服务器同步CachingonlyServer转发客户机查询请求，并返回结果给客户机的DNS服务器。同时缓存查询回来的结果，通过向其他解析服务器查询获得与IP地址对应关系，提高重复查客户端提供服务，通常用于负载均衡及加速操作这些服务器上不存放特定的配置文件。当客户端请求缓存服务器来解析转发器：这台DNS发现非本机负责的查询请求时，不再向根域发起请求，而是简单来说，主服务器就是真正管理和IP地址关系的，从服务器是帮助作形式一般是工作在企业内网的网关位置加速用户查询请求这三种DNSDNS服务协议采用类似树的层次结构记录与IP地址的映射对应关系，形成一个分布式的数据库系统：[DNS结构模型]DNS都是有定义的，但实际使用上可以不必严格遵守，目前使用最广泛的后缀就organizations组织、.（部门、.net（网络服务商、.edu（教研机构、.pub（公众BindBIND伯互联网服务(BerkeleyInternetNameDaemon)最早是由伯大学的一个学生开发的现在的版本是版本由ISC进行编写和，）并且Bind服务程序还支持chroot（changeroot安全机制，chroot机制会限制bind服务程序仅能对自身配置文件进行操作，从而保证整个服务器的安全，让既然如此，那么我们也就选择安装bind-chroot：）[root@rhce[root@rhce~]#yum-yinstallbind-chrootbindbind-bind-chrootx86_6432:9.9.4-14.el7rhel781kInstallingfordependencies:bindx86_6432:9.9.4-14.el7rhel71.8有一个是bind-utilsbindbindBIND的服务名是named，因为BINDDNS服务，而DNS默认的协议是TCP与UDP协议所以BIND服务在启动以后会占用53(),953(mdc)这两个端BindDNS首先就要在本地保存有相关的数据库，而如果把所有和IP地址对应关的执行效率，也不方便今后修改数据。-BIND-域的zone-BIND-域的zone 和IP地址对应一样，对应着每个域和IP地址段具体和IP，需要为用户解析的域、IP（/etc/namedconfbind中除去注释信息和空行后实际有效参数才仅仅30行左右，仅用于定义bind服务程序的运行参数BIND伯互联网服务的服务程序名称叫做named，我们首先需要/etc中找到对应的主配置文件（/etc/named.conf11、17的地址均修改为any，分别代表着服务器上所有IP地址均可提供DNS查询服务，以及DNS，这两个要修改的地方一定要留数据解析服务Bind的程序名称叫做named[root@rhce[root@rhce~]#vimoptions修改为any，代表任何IPlisten-onport53{;};--->listen-onport53{any;listen-on-v6port53{::1;directorydump-filelocalhost修改为any，代表允许任何主机查询17allow-query{localhost;};--->allow-query{any;recursionyes;dnssec-enableyes;zone"."INtypefilezone"."INtypefile 当用户一个时(不考虑hosts文件等因素)，正常情况会向指定DNS如果该DNS主机中没有该的解析信息那么会不断向上级DNS主机进DNS为了避免经常修改主配置文件named.conf而导致DNS规则这个文件用于定义与IP地址解析规则保存的文件位置以及区域服务类hint(根区域)、master(主区域)、slave(辅助区域)，其中常用的master和slave就是主服务器和从服务器的意思。如图所示，分别为转换为IP地址的正向解析参数与IP地址转换成的反向解析参数：zonezone”INtypefileIPtypefilezoneIP""named-checkconfnamed-checkzone命令来DNS解析服务的正向解析是根据主机名()查找到对应的IP地址，正向解析是最常用的工作模式，也就是说当用户输入了一个后bind服务程序会进行自动匹配，然后将查询到对应的IP地址返回给用户。①编辑区域配置文件[root@rhce~]#vimzone "IN[root@rhce~]#vimzone "INtype#DNS#指定域的zone.zone般都是 .zone命修改listen-onport修改listen-onport {;};-->listen-onport {any;修改allow-querylocalhostallow-queryany②创建该域的zone文件(数据文件可以直接正向解析模板文件:"/var/named/named.localhost"，把和IP地址的对应数据填写到文件后保存即可 的时候请加上-a参数，保原始文件的所有者、所有组、权限属性等信息，这样让bind服务程序能顺利的[root@rhce~]#cd切换工[root@rhce~]#cd[root@rhce[root@rhcenamed]#ls-al-rw-r-----.1rootnamed152Jun212007[root@rhcenamed]#cp-a 执行[root@rhcenamed]#cp-a ③编辑zone文件，添们需要的信编辑数据文件，需要重启一下named服务才能让新的解析数据生效，[root@rhcenamed]# 编[root@rhcenamed]# 1@..(#开始#DNS区域.IN INMX.邮箱交记录, /添一条邮记录，件记后面跟，它会递归解析个，所该域名的资记录定要，后的.一定要上【注意：】MX记录一定要定义资源功，MX后面一定要写完整，.IN //mail地址为IN //www地址为IN [root@node1named]#vim A.AA $TTL$TTL@IN.0.;1D;1H;retry1W;expire3H;.[root@node1named]#named-/etc/named.conf:56:missing';'before[root@node1named]#vim/etc/named.conf [root@node1named]#named-checkconf④启动BIND服务重启named[root@rhcenamed]#systemctlrestart部署好了DNSLinuxDNSIP本机提供的DNS查询服务了。如果是别的机器，我们只需要将其DNSvimnameservervimnameserver⑤使用host、nslookup或者dig命令来检测DNSnslookup命令用于检测能否从网络DNS服务器中查询到与IP地址的解析记录，检测named服务的解析能否成功。[root@rhce~]#[root@rhce~]#systemctlrestartnetwork[root@rhce~]#nslookup>Server:Address:#53Address:nslookup4nslookup命令是常用查询工具，就是查DNS信息用令nslookup4在“交互模式”下，用户可以向服务器查询各类主机、的信息，或者nslookup交互模式，此时nslookup会连接到默认的服务器（即/etc/resolv.conf的第一个dnsnslookupnameserver/ip。进入非交互模式，就直接输入nslookup就可以了。[root@node1named]#nslookupServer:18Address:192.168Address:[root@node1named]#hasaddress[root@node1named]#hostH.notfound:3(NXIP因为BIND服务的主配置文件named.conf以及我们的zone配置文件其进行错误排查BIND还提供了两个非常令来对我们的named.conf和zone①命 可以查看BIND的主配置文件的错误[root@rhcenamed]#named-checkconf②命令named-checkzonezone named- .zone/IN:loadedserial0通过这两个命令我们就可以在配置完BIND主配置文件以及zone文件以后对其DNSDNS服务器的DNS服务器的IPnameservernameservernameservernameservernameserverDNSDNS由于策略限制，名称服务器了客户端的DNS请hosthost命令是常用的分析查询工具，可以用来测试系统工作是否正常。-a：显示详细的DNS-a：显示详细的DNS信息；-C：查询指定主机的完整的SOA记录； 服务器没有给-4：使用IPv4；-6：使用[root@servernetwork-scripts]#hasaddressdig命令解析查询过程-bIP-bIPIP查询的DNS-P；-tDNS 查询-4：使用-6：使用-h主机：指定要查主机：指定要查 主机DNS查询的类型；查询类：指定查询DNS的class；[root@server[root@servernetwork-scripts]#;;QUESTION.;;ANSWERA;;AUTHORITY . IN.;;ADDITIONAL. IN ;EDNS:version:0,flags:;;EDNS:version:0,flags:;udp:;;QUESTION IN;;ANSWER. IN.;;ADDITIONAL. IN ;;QUESTION;;QUESTION.IN;;;;AUTHORITY.604800 IN..086400dig-v-tDiG9.9.4-RedHat-9.9.4-上面令会输出四段信息[root@rhce~]#;<<>>DiG9.9.4-RedHat-9.9.4-29.el7;;globaloptions:;;Got;;->>HEADER<<-opcode:QUERY,status:NOERROR,id:;;flags:qrrdra;QUERY:1,ANSWER:2,AUTHORITY:0,ADDITIONAL:;;QUESTION ;;ANSWER

;;Querytime:22;;SERVER:;;WHEN:MonAug2113:16:10EDT;;MSG rcvd:;;QUESTION IN上面结果表示查 的A记录，A是address的第三段是DNS;;ANSWER654IN600IN 上面结果显示 有1个A记录，即1个IP地址。600是值（Timetolive的缩写600第四段是DNS;;Querytime:22;;SERVER:;;WHEN:MonAug2113:16:10EDT;;MSG rcvd:上面结果显示，本机的DNS853（DNS务器的默认端口，以及回应长度是305字节。如果不想看到这么多内容，可以使用+short[root@node1~]#dig+short上面命令只返 对应的1个IP地址（即A记录[root@node1~]#dig [root@node1~]#dig+short[root@node1~]#dig.[root@node1~]#;;QUESTION ;;ANSWER IN IN . INCNAME .600IN digtrace参数可以显示DNS$dig+trace根据内置的根服务器IP地址，DNS服务器向所有这些IP地址发出查询请求，询问math 的顶级服务器com.的NS记录。最先回上面结果显示.com的13条NS记录，同时返回的还有每一条记录对应的然后，DNS服务器向这些顶级服务器发出查询请求，询 的次级的NS记录上面结果显 有四条NS记录，同时返回的还有每一条IP然后，DNS服务器向上面这四台NS服务器查询math 有4条A记录，即这四个IP地址都可以到。并且还显示，最先返回结果的NS服务器是ns-463.awsdns-，IP07NSNS记录的查询dig命令可以单独查看每一 的NS记录$digns$dig+short$dig+shortns$dig+shortDNSDNS（record以分成不同的类型（type，前面已经看到了有A记录和NS记录。：（A：（AddressIP（2）ServerIPeXchangeNameRecord一般来说，为了服务的安全可靠，至少应该有两条NS记录，而A记录和MX记录也可以有多条，这样就提供了服务的冗余性，防止出现单点失败。CNAME记录主要用于的内部跳转，为服务器配置提供灵活性，用户感知不...$.;;ANSWER

.io这 就是一个CNAME记录..io. . 600 ..

.io的CNAME记录指向...io...要修改.这个就可以了用户的

.io由于CNAME记录就是一个替换，所以一旦设置CNAME记录以后，就不能再设置其他记录了（比如A记录和MX记录，这是为了防止产生。 ，而两个各有自己的MX记录，如果许用户对顶级设置CNAME记录。PTR记录用于从IP地址反查。dig命令的-x参数用于查询PTR记录$dig-x;;ANSWER92..3600 上面结果显示，53这台服务器的 逆向查询的一个应用，是可以防止邮件，即验证发送邮件的IP地址，是否dig其他其他DNS除了dighost命令host命令可以看作dig命令的简化版本，返回当前请求的各种记录$host命令也可以用于逆向查询，即从IP地址查 ，等同于dig-x<ip>$hostnslookup命令nslookup命令用于互动式地查询记录$.>.

whois命令whois命令用来查看的情况$DNS解析服务的反向解析作用是根据用户提交的IP地址查找到对应的对某个IP地址上所有绑定的进行整体，由这些发送出来的垃圾邮件，也可以针对某个IP地址进行反向解析，能够大致判断出有多少个[root@rhce~]#vimzone"IN据文件名称，一会要再/var/named中建立与其同名对应的文件才算配置妥当，反向解析是将IP地址解析成格式，因此定义的[root@rhce~]#vimzone"INtypetypefile" allow-update{none;};zone"10.168.192."IN{typemaster;file2[root@rhcenamed]#cp-anamed.loopback[root@rhcenamed]#cp-anamed.loopback/24[root@rhcenamed]#vim$TTL@IN..(.A...1010 20 .在0IP将服务加入到开机启动项中:”systemctlenable3[root@rhce~]#[root@rhce~]#systemctlrestart[root@rhce~]#[root@rhce~]#>Server:Address:#5392.name=92.name..>>Server:Address:#5392.name=.[root@node2network-scripts]#hostnamenamenamepointername...作为互联网的基础设施服务，必须保证DNS解析的正常运转，为网民提供不间断、稳定、快速的查询服务，从服务器是DNS工作模式的一种类的本地DNS服务器时还能提升查询效率，也就是说从服务器可以从主服务器上IPIPRHEL7RHEL7 或使用nslookup验证试验结果。1修改主服务器[root@rhce~]#[root@rhce~]#vimzonetypefile"INallow-update1 zonezone"10.168.192."IN{typemaster;fileallow-update1 [root@rhce~]#[root@rhce~]#systemctlrestart2修改从服务器masters面应该为主服务器的IP地址，以及file参数后面定义的是同步文件后要保存到的位置，稍后可以在该内看到同步的文件：必须将主配置文件"/etc/named.conf"中的地址与允许查询地址修改为[root@rhce[root@rhce~]#vimzone"INtype //请注意服务类型必需是slavemastermasters0; //指定主DNSIPfilefile zone"10.168.192."INtypemasters{0;filesystemctlsystemctlenable192.168.1020当重启从服务器的DNS服务程序后，一般就已经自动从主服务器上面同步了数据文件，默认会放置在区域配置文件中所定义的位置中.然后修改从服务器的网卡参数DNS1样即使用从服务器自身提供的DNS解析服务最后就能用nslookup命令顺重启named0重启named[root@localhostnamed]#systemctlrestart当前已经在named服务的数据文 了[root@localhostnamed]#[root@rhce~]#cd[root@rhceslaves]#ls 果然在 中出现了主服务器中的区域文件[root@localhostnamed]#[root@localhostnamed]#>Server:Address:Address:>>Server:Address:92.name=92.name..DNSDNS务做出的查询结果，如果互联网中的DNS服务不能正常提供解析服务，那么即使Web或服务都运行正常，也无法让用户顺利使用到它们了。13DNSDNS95%)是基于BIND服务程序搭建的，BIND服务程序为了能够安全的提供解析服务而支持了TSIG(TSIGRFC2845)加密机制，TSIG主要是利用编码方式保护区域信息的传送(ZoneTransfer)，也就是证了DNS服务器之间传送区域信息的安全。TSIG仅有一组，而不区分公/私钥，所以一般只会分配给可信任的从服IPIP刚刚在从服务器上面配置妥当bind服务程序后，重启服务后即可看到从主服务器中获取到的数据文件(可以看到slaves中出现区域数据文件)，为了验证TSIG加密的效果，我们现在将这两个文件全部删除掉：[root@rhce[root@rhce~]#systemctlrestart[root@rhce~]#ls-altotaldrwxrwx---.2namednamed54Jun716:02drwxr-x---.6rootnamed4096Jun715:58-rw-r--r--.1namednamed432Jun716:02-rw-r--r--.1namednamed439Jun7[root@rhce~]#rm-rf1dnssec-keygen命令用于生成安全的DNS格式为："dnssec-keygen[参数]"。指定加密算法（包括:RSAMD5RSA)、RSASHA1、DSA、NSEC3RSASHA1、NSEC3DSA等）指定加密算法（包括:RSAMD5RSA)、RSASHA1、DSA、NSEC3RSASHA1、NSEC3DSA等）密钥长度(HMAC-MD51-512位之间[root@rhce~]#dnssec-keygen-a[root@rhce~]#dnssec-keygen-aHMAC-MD5-b128-nHOSTmaster-[root@rhce~]#ls[root@rhce~]#ls-alKmaster-- -.1rootroot56Jun716:06Kmaster--rw-------.1rootroot165Jun716:06Kmaster-[root@rhce~]#catKmaster-[root@rhce~]#catKmaster-Private-key-format:v1.3Algorithm:157(HMAC_MD5)Key:Bits:Created:Publish:Activate:，2bind中，文件中，最后为了安全起见文件的所有组修改成named，将权限设置的也小一些，并且将该文件在/etc中做一个硬文件：，[root@rhce[root@rhce~]#cd[root@rhce~]#vim//依次为密钥名称、密钥加密类型以及私钥的Keykey"master-slave"{algorithmkey"master-slave"{algorithmhmac-md5;secret[root@rhce~]#[root@rhce~]#d[root@rhce od640[root@rhce od640[root@rhce~]# /var/named/chroot/etc/transfer.key[root@rhce~]# /var/named/chroot/etc/transfer.key3开启主服务器的密钥验证[root@rhce~]#vimmaster-slave密钥认证的DNS[root@rhce~]#vim 验无至此DNS主服务器的TSIGDNSbind[root@rhce~]#rm-rf[root@rhce~]#rm-rf[root@rhce~]#[root@rhce~]#systemctlrestart[root@rhce[root@rhce~]#ls-al/var/named/slaves/total4drwxrwx---.2namednamed6Jun717:17drwxr-x---.6rootnamed4096Jun715:584配置DNSbind[root@rhce[root@rhce~]#cd[root@rhceetc]#vimtransfer.keykey"master-slave"{algorithmhmac-secret[root@rhceetc]#chownroot:named[root@rhceod640[root@rhceetc]#lntransfer.key的：server主服务器IP地址{server主服务器IP地址{keys{密钥名称;};[root@rhceetc]#vim/etc/named.conf9include"/etc/transfer.key";43server[root@rhceetc]#vim/etc/named.conf9include"/etc/transfer.key