Red Hat Certified Engineer 8 備考第十四天 搭個DNS
時間:2019年8月5日html
地點:家裏算法
內容:DNS、bind服務緩存
DNS DNS(Domain Name System,域名系統) 這是一項用於管理和解析域名與IP地址對應關係的技術,簡單來講,就是可以接受用戶輸入的域名或IP地址,而後自動查找與之匹配(或者說具備映射關係)的IP地址或域名,即將域名解析爲IP地址(正向解析),或將IP地址解析爲域名(反向解析)。
主服務器:在特定區域內具備惟一性,負責維護該區域內的域名與IP地址之間的對應關係。安全
從服務器:從主服務器中得到域名與IP地址的對應關係並進行維護,以防主服務器宕機等狀況。服務器
緩存服務器:經過向其餘域名解析服務器查詢得到域名與IP地址的對應關係,並將常常查詢的域名信息保存到服務器本地,以此來提升重複查詢時的效率。加密
DNS運行示意圖(見下圖)spa
目前全球總部總共有13個IPV4的DNS根服務器命令行
bind服務 BIND(Berkeley Internet Name Domain,伯克利因特網名稱域)服務是全球範圍內使用最普遍、最安全可靠且高效的域名解析服務程序。
主配置文件(/etc/named.conf):這些參數用來定義bind服務程序的運行。3d
區域配置文件(/etc/named.rfc1912.zones):用來保存域名和IP地址對應關係的所在位置。調試
數據配置文件目錄(/var/named):該目錄用來保存域名和IP地址真實對應關係的數據配置文件。
正向解析參數及ZONE文件寫法(下圖所示)
反向解析參數及ZONE文件寫法(下圖所示)
安全加密傳輸(TSIG)詳見RFC2845
dnssec-keygen dnssec-keyfromlabel命令從一個加密硬件中獲取給定的密鑰並生產密鑰文件。當dnssec-keyfromlabel命令執行成功後,將輸出一個格式爲Knnnn.+aaa+iiiii的字符串。其中,nnnn表示密鑰名;aaa表示加密算法;iiiii表示密鑰標標識符。 格式爲「 dnssec-keyfromlabel [選項] 」。
-a algorithm:選擇的加密算法。算法的值必須是RSAMD五、RSASHA一、DSA、NSEC3RSASHA一、NSEC3DSA、RSASHA25六、RSASHA5十二、ECCGOST其中之一。這些值是不區分大小寫的。若是沒有指定算法,默認使用RSASHA1值。
-3:使用NSEC3能力的算法生成一個DNSSEC密鑰。若是此選項是用來顯示設置,沒有算法在命令行上,默認狀況下,將使用NSEC3RSASHA1。
-E engine:指定的加密硬件的名稱。
-l label:在加密硬件中指定密鑰對的標籤。
-n nametype:指定密鑰文件的全部者類型。這類型的值能夠是ZONE、HOST、ENTITY、USER、OTHER。
-C:兼容模式。生成一箇舊式密鑰文件,沒有任何元數據。默認狀況下,DNSSEC keyfromlabel將包括密鑰的建立日期用私鑰存儲在元數據中、其餘日期(出版日期、激活日期等)。
-c class:DNS記錄包含的密鑰應該有指定的類。若是不指定,IN類被使用。
-f flag:在標誌KEY/DNSKEY記錄的領域設置指定的標誌。***承認的標誌是密鑰簽名密鑰(KSK)和REVOKE。
-G:生成一個密鑰,但不發佈或簽署。該選項和-P、-A選項不兼容。
-h:顯示幫助信息。
-K directory:設置要密鑰文件的目錄。
-k:生成密鑰的記錄,而不是DNSKEY記錄。
-p protocol:設置密鑰值協議。該協議是在0~255之間。默認設置爲3(DNSSEC)。
-t type:指示密鑰類型。類型必須是AUTHCONF、NOAUTHCONF、NOAUTH、NOCOND其中之一。默認爲AUTHCONF。AUTH用來驗證數據的能力和conf可以加密的數據。
-v level:設置調試級別。
-y:容許生成DNSSEC密鑰文件,即便密鑰ID與現有密鑰相同,在任一密鑰中 撤銷。
-P date/offset:設置密鑰文件的出版日期。
-A date/offset:設置密鑰文件的激活日期。
-D date/offset:設置密鑰文件的刪除日期。
-I date/offset:設置密鑰文件的失效日期。
-R date/offset:設置密鑰的撤銷日期。
部署緩存服務器
向主配置文件添加forwarders參數,格式爲:「{ ip; }」
分離解析技術
1.刪除主配置文件中的根域項。
2.以ACL的形式定義區域IP並配置對應的正向解析服務。
書面筆記