Red Hat Certified Engineer 8 備考第十四天搭個DNS

時間 2020-02-12

標籤 red hat certified engineer 備考第十四天 4天 dns 欄目系統網絡简体版

原文原文鏈接

時間：2019年8月5日html

地點：家裏算法

內容：DNS、bind服務緩存

DNS DNS（Domain Name System，域名系統）這是一項用於管理和解析域名與IP地址對應關係的技術，簡單來講，就是可以接受用戶輸入的域名或IP地址，而後自動查找與之匹配（或者說具備映射關係）的IP地址或域名，即將域名解析爲IP地址（正向解析），或將IP地址解析爲域名（反向解析）。

主服務器：在特定區域內具備惟一性，負責維護該區域內的域名與IP地址之間的對應關係。安全

從服務器：從主服務器中得到域名與IP地址的對應關係並進行維護，以防主服務器宕機等狀況。服務器

緩存服務器：經過向其餘域名解析服務器查詢得到域名與IP地址的對應關係，並將常常查詢的域名信息保存到服務器本地，以此來提升重複查詢時的效率。加密

DNS運行示意圖（見下圖）spa

目前全球總部總共有13個IPV4的DNS根服務器命令行

bind服務 BIND（Berkeley Internet Name Domain，伯克利因特網名稱域）服務是全球範圍內使用最普遍、最安全可靠且高效的域名解析服務程序。

主配置文件（/etc/named.conf）：這些參數用來定義bind服務程序的運行。3d

區域配置文件（/etc/named.rfc1912.zones）：用來保存域名和IP地址對應關係的所在位置。調試

數據配置文件目錄（/var/named）：該目錄用來保存域名和IP地址真實對應關係的數據配置文件。

正向解析參數及ZONE文件寫法（下圖所示）

反向解析參數及ZONE文件寫法（下圖所示）

安全加密傳輸（TSIG）詳見RFC2845

dnssec-keygen dnssec-keyfromlabel命令從一個加密硬件中獲取給定的密鑰並生產密鑰文件。當dnssec-keyfromlabel命令執行成功後，將輸出一個格式爲Knnnn.+aaa+iiiii的字符串。其中，nnnn表示密鑰名；aaa表示加密算法；iiiii表示密鑰標標識符。格式爲「 dnssec-keyfromlabel [選項] 」。

-a algorithm：選擇的加密算法。算法的值必須是RSAMD五、RSASHA一、DSA、NSEC3RSASHA一、NSEC3DSA、RSASHA25六、RSASHA5十二、ECCGOST其中之一。這些值是不區分大小寫的。若是沒有指定算法，默認使用RSASHA1值。

-3：使用NSEC3能力的算法生成一個DNSSEC密鑰。若是此選項是用來顯示設置，沒有算法在命令行上，默認狀況下，將使用NSEC3RSASHA1。

-E engine：指定的加密硬件的名稱。

-l label：在加密硬件中指定密鑰對的標籤。

-n nametype：指定密鑰文件的全部者類型。這類型的值能夠是ZONE、HOST、ENTITY、USER、OTHER。

-C：兼容模式。生成一箇舊式密鑰文件，沒有任何元數據。默認狀況下，DNSSEC keyfromlabel將包括密鑰的建立日期用私鑰存儲在元數據中、其餘日期（出版日期、激活日期等）。

-c class：DNS記錄包含的密鑰應該有指定的類。若是不指定，IN類被使用。

-f flag：在標誌KEY/DNSKEY記錄的領域設置指定的標誌。***承認的標誌是密鑰簽名密鑰（KSK）和REVOKE。

-G：生成一個密鑰，但不發佈或簽署。該選項和-P、-A選項不兼容。

-h：顯示幫助信息。

-K directory：設置要密鑰文件的目錄。

-k：生成密鑰的記錄，而不是DNSKEY記錄。