ISC BIND9 - 最详细、最认真的从零开始的BIND 9 服务讲解
DNS and BIND 服务的搭建说明
目录
1. 背景
1.1 DNS
DNS( Domain Name Service) 作为一个非常让人耳熟能详的概念,这种技术可以把复杂难记的IP地址转化成为一个域名供人们去调用,这样人们只需要记住每一个网站的域名而不需要记住非常复杂的IP地址。
这种技术这里不做深入探讨,只需要对DNS的过程有一个大概的了解即可,未来会有一篇专门探讨 DNS 协议及其安全问题的安全博客,在这篇安全博客将会详细描述安全实验的步骤。
DNS ZONE:
DNS Zone,DNS域,被用来划分DNS主域。传统的DNS域类似一个树状的结构,被分成不同的区域,这些区域可区分一个DNS服务器中命名空间中不同的区域。 DNS区域是构成DNS命名空间的一部分,由特定组织或管理员加以管理,其可以对权威性域名服务器等DNS组件更加精细的控制。 域名空间是一个分层数,其中DNS的根域位于顶部,DNS区域始于该树中的一个域,并且可以扩展到下边的子域。
常见的资源记录类型:
A :Address地址, IPv4
AAAA:Address地址 IPv6
NS :Name Server域名服务器
SOA:Start of Authority 起始授权机构
MX:Mail Exchanger 邮件交换
CNAME:Canonical Name规范名
PTR:Pointer指针
TXT:Text
SRV:Service
CNAME
CNAME-records ( Canonical name for an alias )是域名的别名。一个服务器地址 nyc3.example.com 这个主机域名可能会提供不同的服务,比如说一个域名即要去提供 web服务,也要提供 ftp 服务,那么这个时候就需要一个别名域名来指向原来的域名,这个时候就可以使用一个 A 记录来管理多个域名,为DNS后期修改配置提供方便。举个例子:
我想要搭建一个博客网站后台为博客网页提供web服务,我想要节省我服务器搭建的成本开销,只想租用一个服务器并配置相关域名解析,我的博客网站现在提供的服务有评论,分享,登陆授权,注册,这个时候我需要同时在这个服务器上开通这些服务,一开始你的博客网站默默无闻,访问量以及下载量并不是那么大,这个时候你的服务器负载并不是那么严重;当你的访问量暴增的时候,这个时候就需要考虑到你的服务器的流量转发问题了~原始服务器的流量暴增已经让你的服务器性能急剧下降,你需要将原来的提供服务的服务器的相关模块提供一个内容分发模块 (CDN),这个CDN提供商要求你的域名做一个Pointer来指向他们为你提供的 DNS地址,这个时候你的 CName 就可以指向他们提供的域名,做到对DNS流量的分发,从而实现网站的流量负载均衡作用。
NS (Name Server)
域名服务器,NS,用于确定哪些服务器(注意不是单个服务器)为一个局域网传递DNS信息以及确定域名由哪个服务器进行解析。
一般NS配置在 BIND9 中的 db 文件中进行配置,在 SOA 配置之后。NS记录 和 SOA记录是任何一个DNS区域都不能或缺的两条记录。
SOA( Start of Authority)
SOA 又被称作 起始授权机构记录, 被标记成在众多NS记录中哪一台是主服务器。
SOA 记录表示此域名的权威解析服务器地址,当要查询的域名在所有递归解析服务器没有域名的解析缓存时,会回源到请求此域名的SOA 记录,也叫做权威解析记录。
SOA 作为所有区域文件的强制性记录,他必须是 ZONE 文件中的第一个记录。
SRV (Service)
SRV 记录是从 RFC2052 中对 SRV资源进行了定义。SRV 被用来记录服务器提供什么样的服务。
1.2 FQDN
FQDN(Fully Qualified Domain Name) 完全合格域名/全程域名,即域名可以通过DNS进行解析,其公式 FQDN = HostName + Domain。
这门技术解决了一个多个主机的问题,一个网站或者服务器集群一般都是有多个主机一起协作的,比如说包括正向代理服务器、反向代理服务器、Web服务器、Email服务器、OA服务器、FTP服务器等等,这个时候就涉及是不是需不需要为每一个主机申请一个域名。 有了这个技术之后每一个主机都可以自己申请一个 Hostname
来区别于其他的主机,这个时候就只需要一个域名就可以做到管理所有的主机。
比如我申请了一个域名: doheras.com
现在我有两个服务器需要用到这个域名,一个 FTP服务器,一个Web服务器,这两个服务器都需要用到 doheras.com
这个域名,根据公式,我们知道可以采用 hostname
的方式来访问不同的主机:
Web 服务器: web.doheras.com
FTP 服务器: ftp.doheras.com
因此, FQDN 服务可以简化在服务和应用中的配置流程,提高配置文件的可维护性。
在配置DNS的过程中,因为服务端的工作在UDP协议端口53上,DNS需要FQDN提供正向解析 (FQDN --> IP)以及反向解析 (IP --> FQDN) 的服务。
1.3 BIND
BIND(Berkeley Internet Name Domain)作为一款目前市面是最主流的开源DNS软件,占据了市面上DNS服务器软件的九成,目前由 互联网系统协会 (Internet Systems Consortium) 负责开发和维护。目前,最新的稳定版BIND已经更新到了 BIND 9 版本。
BIND可以运行的系统和平台非常得全面,从官网上来看,目前支持的主流的Linux操作系统及其服务器种类有: Ubuntu、Debian、Fedora/CentOS。其中对于Fedora的版本支持已经涵盖了最新版本:Fedora 33。在Linux平台上可以做到对 BIND 源码的编译和特殊功能定制的操作,对于该软件在实际运行过程中的安全性的探讨研究。其基本功能支持在服务器或者是本机上搭建定制的DNS服务并做到域名解析功能。对于将该软件部署到Linux平台最具有优势的方面是定制化的DNS服务,因为源码对于每一个开发人员和网络管理人员都是透明的,因此可以做到对该软件的随意定制。
其次,对于使用较为广泛的Windows操作系统,BIND也给出了可以运行的解决方案,但是其定制化的功能因为平台的原因收到了限制和Windows 10 操作系统的相关问题,因此我认为不推荐 BIND 在 Windows上的实验,但是本文也给出了在 Windows 10 操作系统下的安装办法,对于 Windows Server 操作系统要求的管理经验以及熟练度太高,因此本文没有给出相关配置步骤。
1.4 本文中搭建模拟DNS服务网络虚拟设备架构示意图 - Debian 9
本文中提及到相关实验和操作步骤的操作环境具体配置要求,都已经根据每个不同章节的内容给出了说明,请在不同章节前自行查找相关的配置信息作为参考。
下边给出的图片列举了Big Sur下搭建模拟DNS虚拟机网络的拓扑图,使用的:
172.16.2.11
作为主要的 (Master) DNS解析服务器,主要为客户端提供域名解析服务,所有客户端的首要访问的DNS解析服务器是NS1
;172.16.2.12
作为一个灾备的服务器NS2
,被当作一个灾备DNS服务器使用,在主机无法提供域名解析服务的时候被启用,其配置流程与NS2基本上一样,唯一的区别是配置需要分清与NS1的主次关系;172.16.2.5
/172.16.2.6
/172.16.2.7
做为模拟请求客户端的虚拟机,其用来模拟和重现配置DNS解析客户端的配置流程;172.16.2.0
作为虚拟机连接本机的 NAT 网络的网关地址,用于与 Mac 主机进行通信;
Caution
- 以上所有网络设备对应的设备都是基于 Mac Big Sur 下 VMware Fusion 的虚拟机;
- 自行搭建复现过程IP地址不需要与上图保持一致,请自行规定虚拟设备的IP;
1.5 操作系统的选择
在 ISC 官网上的 BIND 9 支持的 Linux 版本包括: Debian 、 CentOS 、 Fedora 、 Ubuntu。从网上的资料来说,大多数的选择都是 Debian 作为服务器端的选择。对于非Linux操作系统,Windows / Windows Server 也支持搭建 BIND 9 DNS 服务。
从互联网上的大多数英文论坛网友的评论来说,本着稳定、安全、实用并容易管理的原则,对上述的主流操作系统进行分析:
对于 Debian 系列的操作系统对于开源社区的更新和支持力度比较大,版本更新较快,新发行的版本可能会存在不稳定的问题和补丁容易带来系统的安全性、完整性的问题,但其优点是ISC提供预编译的 BIND 9 包在 Debian 操作系统上可以轻松做到运行,Debian Server 版本更新补丁的速度都比较快;
CentOS 作为一款专业的服务器端,拥有稳定、安全的特性,其发行版本一般较为稳定并经过许多专业人员在服务器端的大量测试,ISC 也为其编译了BIND 9 的安装包,但其缺点在不容易上手和难以操作,对于 CentOS 7 和 CentOS 8 的社区支持和版本更新会在 2021年和2029年终止,并且以后 CentOS Stream 不再作为 RHEL的“免费”的商业版本而成为介于 Fedora 和 RHEL 之间,其定位与 Fedora 较为相近;在尝试配置 CentOS 8 的过程中出现很多不应该出现的问题,比如说从 yum 安装BIND9时对应目录下的文件无法找到,sudo 的用户添加过于复杂的问题让人非常恼火。
Ubuntu 作为经典的桌面版Linux的操作系统,非常稳定和容易上手,但是选择其作为服务器端的人数较少,有可能带来的问题难以被估计。
综上,我选择 Debian9 作为 测试版 DNS Server 的承载操作系统,选择的依据依赖于其稳定的更新频率和良好的开源社区,备用的选择为 RHEL 和 Fedora。
在接下来的内容,我将选择 Windows 预先编译好的服务文件作为测试搭建DNS服务并详细描述在 Debian 的搭建 BIND 9 服务的步骤和配置流程。
1.5 BIND9 与 F5-GTM
写这篇博客的目的是做一个替代F5核心GTM的BIND服务器,构建这个服务器目标是为了在局域网内核心F5的GTM设备出现故障时候,配置好的 BIND服务器 可以立刻取代F5 GTM设备充当整个区域网的域名解析服务器为访问终端或服务器提供域名解析服务。
在这里我必须指出在构建这个BIND域名解析服务器时,遇到的一个非常大的困惑。
从上面的模拟DNS虚拟机网络的拓扑图中,NameServer(NS)是与主机在同一个网段下的,但实际上,在生产链路中的F5 GTM设备并不是和其他的服务器连接在同一个网段下的,这就会带来一个问题,就是当终端想要访问外网段的DNS解析服务器时,NameServer 会不会不能为其提供服务?
问题的重现从这篇详细阐述F5-GTM运作原理的官方文档开始:https://techdocs.f5.com/kb/en-us/products/big-ip_gtm/manuals/product/gtm-concepts-11-5-0/4.html
这里边详细介绍了F5 GTM的运作原理,以及出现了下边的图片,这个部分引起了我的担忧,当链路的GTM失效之后,因为GTM与LTM连接的子服务器以及子终端因为不在同一个网段中而无法进行工作:
举个例子,GTM作为整个链路的核心设备,用于为LTM设备提供域名解析服务,在实际的生产网络中中GTM在网络中拓扑并不是与LTM存在于同一个网段的,画一个图来表述这个问题:
上图中,作为一个简单的网络拓扑的再现,四个网络中LTM都与中间的GTM不在同一个网段中,因为我在之前画的模拟拓扑所有的设备不管是DNS服务器还是host终端都在同一个网段,因此设备与设备之间的访问以及设备与DNS服务器之间的服务建立并不需要跨越网段,因此访问以及提供服务是没有任何问题的。
但是如果不在同一个网段呢? 当然这个部分省略了很多关键的网络设备,这里不一一阐述。
其实这个问题我是想的有一点偏的,或者来说比较多余,因为:
- 其实作为谷歌还是阿里提供的免费的权威域名服务器都是在不同的网段下进行运作的,那么不同网段不应该成为DNS服务器无法提供服务的一个阻碍条件;
- 其次,我的困惑是在整个体系中 GTM 与 LTM 是搭配进行使用的,所以我错误地认为 GTM是为LTM服务的,我需要解决的事是GTM与LTM之间的配置问题,为LTM提供服务,这个想法是完全错误的;在整个网络体系中,GTM 为所有的访问域名客户端的客户端提供解析服务,并不影响 LTM的工作,两者的工作状态是独立的;
- 最后,如果说F5设备的特色是负载均衡,那么这个负载均衡体现在GTM设备之间的负载均衡或者来说是“双活”,而不是与LTM的负载问题。
如果想要了解 GTM 与 BIND 之间的关系,请详细了解 BIG-IP-GTM 中内嵌的模块 - ZONERUNNER。
2.BIND 9 配置文件讲解
这里以 Debian9 作为配置讲解的环境。
BIND9 的配置文件在安装之后配置文件名字: named.config
, 在 Linux下 named.config
文件存储的位置为:/etc/bind
,其中文件named.config
引用了三个文件: named.conf.options
、named.conf.local
、named.conf.default-zone
。
在 Debian9 中查找和重启当前 BIND9 服务的命令是: sudo systemctl status bind9
和 sudo systemctl restart bind9
。
2.1 CONF 文件
在完成 BIND9 的变异和安装之后,BIND9 已经创建了一个默认的配置文件 named.config.local
和 文件 named.config.options
用于配置 BIND9 的基础服务,这两个文件作为配置DNS的核心文件,修改这两个文件需要管理员权限,默认的权限为: root:named,不要随便更改这两个文件的运行权限,DNS 服务会出现问题。
配置文件的注释符号为 //
ACL
一般来说,ACL模块用来承担控制主机可以访问域名解析服务器的角色,其设置不会让控制文件的配置非常冗余和庞大。采用这个配置可以有效防范DOS以及Spoofing攻击。一般来说定义这部分的内容来规定IP是否能够被接入以及Blocklist来阻止某些特定的IP地址介入到域名解析服务器中。
ACL匹配客户端是否能够接入到域名服务器基于三个基本的特征:
- 客户端的IPv4或者IPv6地址
- 用于签署请求的 TSIG 和 SIG(0) 密钥
- 在DNS客户端子网选项中编码的前缀地址
匹配 acl
定义以及使用规则如下: string
是用来命名IP地址集的一个变量名,可以随意地被命名;
acl <string> { <address_match_element>; ... };
举一个在 named.config.options
文件中被定义的例子:
acl bogusnets {
0.0.0.0/8; 192.0.2.0/24; 224.0.0.0/3;
10.0.0.0/8; 172.16.0.0/12; 192.168.0.0/16;
}; // 这个部分
// Set up an ACL called our-nets. Replace this with the
// real IP numbers.
acl our-nets { 172.16.2.11/24; 172.16.2.12/24; }; //子网的名称
Logging
logging
部分的配置为DNS解析服务器提供了日志记录的功能,DNS服务器上的所有日志记录被存储到了指定的文件中。其通用的配置文件为:
logging {
category <string> { <channel_name_string>; ... };
channel <string> {
buffered <boolean>;
file <quoted_string> [ versions ( unlimited | <integer> ) ]
[ size <size> ] [ suffix ( increment | timestamp ) ];
null;
print-category <boolean>;
print-severity <boolean>;
print-time ( iso8601 | iso8601-utc | local | <boolean> );
severity <log_severity>;
stderr;
syslog [ <syslog_facility> ];
};
};
从上边的通用配置格式可以看出来,logging
模块分为两个部分,category
和 channel
,channel的作用是指定输出的方式、日志格式的选项和事件的严重性,每一个channel 可以指定一个 category 来指定记录的事件类型。其中 category 用来区分不同的事件产生的类别或者场景,比如:客户端请求-client request
、配置文件解析处理-Configuration file parsing and processing
。
如果在 named.config.options
文件中没有指定 logging
模块系统会给出一个默认的配置
logging {
category default { default_syslog; default_debug; };
category unmatched { null; };
};
channel
的配置规则:
所有的日志输出都需要 channel 来指定输出格式,BIND9 对于创建 channel 的数量没有限制。
每一个 channel 都需要为该通道的日志信息指定一个
destination clause
- 目的句柄,目的句柄在 channel 阶段被配置,这个目的句柄用来区分: 1)输出到具体的文件的名字 -file
;2)输出到具体的系统日志工具中(syslog/syslogd)-syslog
;3)输出到终端显示- 标准错误流(standard error stream);4)或者该错误消息直接被丢弃 -null
。其次,channel 的配置可以规定每一个错误日志消息的响应级别,默认的响应级别是
info
,channel 可以规定接受错误消息的级别;此外,channel 还可以控制输出错误日志消息的格式,可以包含:响应时间戳、category名字、严重等级等。
channel
的配置参数:
buffered
: 用来规定是否刷新错误日志的文件,其参数值为<boolean>
,在 BIND9 中<boolean>
值的参数值为yes
/no
,如果设置成为yes
那么日志消息流(一般每一个错误日志消息都是一个 Log Entry)就不会刷新,而是被保存在缓冲区中了,不会刷新到文件中。file
: 类似于Linux的通道概念,file 将日志输出流通过通道直接输出给文件,从上边的通用配置可以看出来可以为 file 指定文本文件的大小 -size
;指定 log 文件的版本号 -version
;指定用于命名备份版本的格式 -suffix
size
用来限制log文件的大小,如果log文件的大小设置超过了设定的阈值,那么系统会自动停止输出内容到文件中;versions
: 用于指定新创建的 log文件数存储到本地的上限值,默认的参数值为unlimited
,当指定的文件的大小超过设定的size
值得时候,如果没有指定versions
,那么系统就不会继续写进log;如果制定了versions
,那么就会继续写入;suffix
:设定用来命名log
文件的方式;syslog
:将通道定向到系统的日志文件流中; 常用的支持日志文件服务为:dameon
、syslog
、local6
、local7
;severity
:用来承担定义日志严重级别的定义角色,相当于syslog
-priorities
。比如说定义了日志的严重级别为Debug
,那么会输出日志事件Debug
以上的错误到文件中。一般常用的严重等级:debug[level]
、notice
、warning
、dynamic
- 与当前服务器的日志保持一致;一般的 DNS服务器的日志等级调成info
即可;stderr
:将通道指向服务器的标准错误流。这是为了在服务器作为前台进程运行时使用;print-time
:yes
/no
/local
/iso8601
/iso8061-utc
可以设定不同的输出到日志文件的时间格式;print-category
:打印日志消息配置category
的信息;print-severity
: 打印日志的严重等级
category
词组配置规则:category <config_string> { <channel_name_string>; ... };
client
: 客户端请求;cname
:由于是CNAME而不是a /AAAA记录 的域名服务器;config
: 配置文件解析和处理过程;database
:与名称服务器内部用于存储区域和缓存数据的数据库相关的消息;general
: 没有被归类的category
类别的其他种类的日志文件信息;lame-servers
: 远程服务器中的错误配置,BIND 9在解析期间试图查询这些服务器时发现;network
: 网络操作;notify
: 通知协议;queries
:记录所有查询 DNS服务器的 query;query-errors
: 关于导致某些失败的查询的信息;xfer-in
:区域传输服务器正在接收;xfer-out
:区域传输服务器正在发送的信息;zoneload
:加载区域和创建自动空区域;
怎么去配置这个服务?
配置的 logging
服务会创建指定的日志文件,该日志文件从服务挂起的时候被创建,用于记录DNS服务中的相关的配置信息以及交换信息。在 Debian9 的默认存储目录为 /var/cache/bind/*
。你也可以为其指定存储的位置。
如果你想要配置成一个自己的目录,首先你需要创建一个自定义的目录,比如说我指定了我想要存放日志的文件的目录: /var/log/bind
,如果不为这个文件使用chown
命令指定权限的话会出现 isc_stdio_open '/var/log/example.log' failed
的报错。解决方法是: sudo chown bind:root /var/log/bind
现在我们已经基本上了解了 logging 的工作原理,其工作机制简单地来说就是,首先你需要创建一个 channel 来规定输出日志流的格式还以及日志文件名、文件版本,每一个 channel 可以被多个 category 调用使用,每一个 category 相当于一个 BIND9 内嵌的服务模块,服务模块去调用日志配置模最后输出格式化日志。
options
options
的参数设置会影响整个 BIND9 DNS环境的配置,具体各部分常用到的配置参数如下:
listen-on
: 用于配置监听的端口以及IPv4地址,默认的监听端口为:53;listen-on-v6
:用于监听 IPv6 地址以及端口;directory
: 用于指定读取DNS数据文件的文件夹,默认的文件夹的路径为:/var/cache/bind
;dump-file
:选项用来设置域名缓存数据库文件的位置,可以自己定义。默认的存储文件为:named_dump.db
;statistics-file
:选项用来设置状态统计文件的位置,可以自己定义。;memstatistics-file
:选项用来设置服务器输出的内存使用统计信息。默认保存在/var/named/data
目录下,文件名为named.memstats
;allow-query
:选项用来设置允许DNS查询的客户端地址,默认值为localhost
, 可以设置为某个网段、任意地址、具体的某台主机三种情况。例如,要修改为任意地址,就在括号内的加入any
,也可以引用之前创建的acl
内的所有地址;recursion
:用于设置递归查询,一般客户机和服务器之间属于递归查询,即当客户机向DNS服务器发出查询请求后,若DNS服务器本身不能解析,则会向另外的DNS服务器发出查询请求,得到结果后转交给客户机。此选项有yes
和no
两个值。这个选项用于设置 Failover 非常有用;dnssec-enable
: 选项用来设置是否启用DNSSEC
支持,DNSSEC
可以用来验证DNS数据
的有效性,该选项有yes
和no
两个值,默认值为yes
。dnssec-validation
:选项用来设置是否启用DNSSEC确认,默认值为yes
,可以选择auto
。bindkeys-file
: 用来设置内置信任的密钥文件,其默认值为/etc/named/iscdlv.key
;managed-keys-directory
: 选项用于指定目录中的文件存储位置,跟踪管理DNSSEC
密钥, 这部分的内容在后边会有介绍;forwarders
:DNS转发器。用于设定该DNS解析服务器无法进行当前域名解析的情况下,进行转发解析的DNS地址,其中8.8.8.8
和8.8.4.4
是谷歌的免费DNS服务器的网络地址;233.5.5.5
和233.6.6.6
是阿里云的免费DNS地址。当设置了forwarder
的转发器之后,所有的非本域的和在缓存中无法查找到的域名查询都转发都设置的DNS转发器,由DNS转发器 完成转发操作。因此这台转发器的缓存中就记录了丰富的域名信息。因此如果遇到非本域的查询,转发器的缓存就可以做到查询,从而减少了向外部的查询流量。forward
: 选择默认的IP地址即可;
controls
controls语句声明了系统管理员用于管理名称服务器远程操作的控制通道。rndc
使用这些控制通道向名称服务器发送命令,并从名称服务器检索非dns结果。
2.2 Zone 文件 - named.config.local
该文件定义了 BIND9 中的 ZONE(区域)文件在named.conf
文件中的定义,用于定义解析的域名的数据库文件,即域名与IP地址的映射关系以及DNS发送的解析域名数据包的相关参数设置,其定义的格式如下:
zone "<YOUR DNS Domain Name >" {
<Configurations>
}
当然你也可以定义你的反向解析域名通过以下的格式进行定义:
zone "<YOUR IP ADDRESS>-addr.arpa" {
<Configurations>
}
常用的参数配置如下:
file
- 和options
的参数的含义是一样的,用于指出域名与IP地址解析的数据库配置文件;allow-transfer
: 这个地方的配置是用来给出 Failover 或者是 递归查询DNS服务器的IP地址,如果之前在options
里配置的allow-transfer
如果设置成了参数yes
, 那么需要在这里指出递归查询服务器的IP地址;type
: 用于指定当前DNS解析服务器的位置,是主服务器 - master 还是从服务器 - slaver?
3. Windows下的安装测试
3.1 BIND 9 Executable Windows Edition 下载及其安装
Windows 桌面及其Server运行版本要求
BIND 9 部署到 Windows 环境需要满足以下的环境条件:
Windows 64 bit for win64 built using Microsoft Visual Studio 2012 (.x64.zip)
ISC 要求需要满足运行环境下 Microsoft Visual Studio 2012
及其依赖的安装, 不能运行在 Microsoft Windows XP
和 Microsoft Windows Server 2003
下。
BIND 9 Windows版本
Windows版本下载的网址请单击: https://www.isc.org/download/
目前 ISC 给出了三种可以下载的版本,第一种是测试版本 9.17.9
, 第二种是稳定版本 9.16.11
,我使用的是该版本作为 Windows下的测试版本,第三种版本是 9.11.27
作为一种稳定的老旧版本,已经停止了更新维护。
安装步骤
1.下载完成之后,需要安装的文件是一个压缩文件 ( BIND9.16.11.x64.zip ),在 Windows下解压之后即可正常运行。下图为解压之后的文件目录。
2.使用管理员权限打开 BINDInstall.exe
文件,进入到界面的安装步骤中。未使用管理员权限打开该文件可能会带来安装过程中的错误。
3.在下边的图片请选择:
Keep Config Files After Uninstall
、Start BIND Service After Install
以及Automatic Startup
选项,确保能够在设备重启之后DNS服务可以正确被运行。- 保留
Service Account Name
为默认值不要更改,更改成其他的字符串会发生错误。 - 输入一个默认密码进行安装
4.正确配置之后会提示你安装 Microsoft Visual C++ 2017
, 如果已经安装请单击 修复 保证安装的环境是正确的,如果系统环境中没有该运行的环境请按照提示进行安装。
5.安装成功之后会提示:
6.将所有的工具加入到Windows环境变量中。
右键单击 “此电脑”,单击 “属性”,单击“高级”,单击“环境变量”。
找到 Path
的环境变量,双击并加入新的路径: C:\Program Files\ISC BIND 9\bin
验证:
在命令行界面输入:
dig
C:\Users\DoHeras>dig
; <<>> DiG 9.16.11 <<>>
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34160
;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;. IN NS ;; ANSWER SECTION:
. 4502 IN NS a.root-servers.net.
. 4502 IN NS g.root-servers.net.
. 4502 IN NS l.root-servers.net.
. 4502 IN NS c.root-servers.net.
. 4502 IN NS d.root-servers.net.
. 4502 IN NS b.root-servers.net.
. 4502 IN NS k.root-servers.net.
. 4502 IN NS h.root-servers.net.
. 4502 IN NS i.root-servers.net.
. 4502 IN NS j.root-servers.net.
. 4502 IN NS e.root-servers.net.
. 4502 IN NS m.root-servers.net.
. 4502 IN NS f.root-servers.net. ;; Query time: 31 msec
;; SERVER: 172.16.2.1#53(172.16.2.1)
;; WHEN: Thu Jan 28 18:34:42 中国标准时间 2021
;; MSG SIZE rcvd: 239
3.2 BIND 9 在 Windows环境的配置
区别于旧版的 ISC BIND 服务,旧版的软件安装在 C:\Windows\System32\dns
中,新版软件安装的目录则在 C:\Program Files\ISC BIND 9
,因此新版软件的环境配置相比旧版的直接在系统目录下安装更加复杂。
步骤
1.安装结束之后,进入到安装目录 C:\Program Files\ISC BIND 9\bin
下运行 rndc-config.exe
来生成一个 rndc.key
。这个 key 是 BIND 9.x版本的新功能,是有关DNS更新以及更新时加密处理的,跟我们个人用户无太大关系,不过基于兼容性,还是照做。 这个 key 生成的路径为: C:\Program Files\ISC BIND 9\etc
, 同时这个文件夹也是用来存放 BIND 服务的配置文件的。
生成后的 key 显示如下:
![06](../DNS 解析/DNS:BIND/06.png)
2.配置一个 named.conf
文件, 同时这个文件也是 BIND 的配置文件,目前配置文件的内容先简单如下:
options {
// zone文件的位置
directory "C:\Program Files\ISC BIND 9\etc";
// 无法解析的域名就去查询ISP提供的DNS
// 在下面的IP地址位置上填写ISP的DNS地址
forwarders {
//这里是你本机IP或者127.0.0.1
127.0.0.1;
};
// 仅允许本机与192.168.0.0网段内的机器查询
allow-query {
127.0.0.1;
192.168.0.0/16;
10.231.0.0/16;
10.232.0.0/16;
};
};
// 根DNS
zone "." {
type hint;
file "root.zone";
};
// localhost
zone "localhost" IN {
type master;
file "localhost.zone";
allow-update { none; };
};
// localhost的反向解析
zone "0.0.127.in-addr.arpa" {
type master;
file "localhost.rev";
};
// 123.com是我们为自己的域的正向解析配置
zone "123.com" IN {
type master;
file "123.com.zone";
};
// whalecloudvcenter.com是我们为自己的域的正向解析配置
zone "whalecloudvcenter.com" IN {
type master;
file "whalecloudvcenter.com.zone";
};
// whalecloudvcenter.com的反向解析
zone "100.168.192.in-addr.arpa" {
type master;
file "whalecloudvcenter.com.rev";
};
3.从ISC网站上下载相关的named
文件到本地上,网址为: https://www.internic.net/domain/named.root
去下载 name.root
文件。 在https://www.internic.net/domain/root.zone
网址中下载root.zone
文件。并将这两个文件拷贝到C:\Program Files\ISC BIND 9\etc
目录。
4.创建一个新的 localhost.zone
到 C:\Program Files\ISC BIND 9\etc
中来配置 localhost
的正向解析。
$TTL 1D
@ IN SOA localhost. root.localhost. (
2007091701 ; Serial
30800 ; Refresh
7200 ; Retry
604800 ; Expire
300 ) ; Minimum
IN NS localhost.
localhost. IN A 127.0.0.1
5.创建一个新的 localhost.rev
文件到 C:\Program Files\ISC BIND 9\etc
中来配置 localhost
的反向解析。
$TTL 1D
@ IN SOA localhost. root.localhost. (
2007091701 ; Serial
30800 ; Refresh
7200 ; Retry
604800 ; Expire
300 ) ; Minimum
IN NS localhost.
1 IN PTR localhost.
6.创建一个新的 123.com.zone
文件到 C:\Program Files\ISC BIND 9\etc
中来为自己的域名来配置正向解析。
123.com. IN SOA ns1.123.com. root.123.com. (
2007091701 ; Serial
30800 ; Refresh
7200 ; Retry
604800 ; Expire
300 ) ; Minimum
IN NS ns1.123.com.
* IN A 127.0.0.1
7.创建一个新的whalecloudvcenter.com.zone
到 C:\Program Files\ISC BIND 9\etc
中配置自己的服务器域名的正向解析服务。
whalecloudvcenter.com. IN SOA ns1.whalecloudvcenter.com. root.whalecloudvcenter.com. (
2007091701 ; Serial
30800 ; Refresh
7200 ; Retry
604800 ; Expire
300 ) ; Minimum
IN NS ns1.whalecloudvcenter.com.
* IN A 192.168.100.1
8.创建一个新的 whalecloudvcenter.com.rev
到 C:\Program Files\ISC BIND 9\etc
中配置自己服务器域名的反向解析服务。
$TTL 1D
@ IN SOA whalecloudvcenter.com. root.whalecloudvcenter.com. (
2007091701 ; Serial
30800 ; Refresh
7200 ; Retry
604800 ; Expire
300 ) ; Minimum
IN NS whalecloudvcenter.com.
1 IN PTR whalecloudvcenter.com.
目前我们在 C:\Program Files\ISC BIND 9\etc
目录下的文件有:
9.在刚才安装的过程中,系统已经默认创建了一个新的用户 named
, 这个用户用来构建 DNS 服务,下一步需要做到的是为当前的文件夹配置权限,在目录 C"\Program Files\ISC BIND 9
配置所有的权限为: 全部允许。
这步的操作需要对所有在 “组或用户名” 下的所有用户和组添加权限,因为不知道新创建的用户处于哪一个分组下,因此需要全部进行创建。
10.在“系统服务”中配置 ISC BIND 9
Service 的相关配置。先打开管理命令行,并输入 services.msc
,回车。
进入到 “管理服务” 页面之后,找到 ISC BIND
服务之后双击改变属性。在下图中,请确认使用账户 ./named
用户进行登录,密码在默认的时候已经被配置了,不需要进行更改。
11.最后,完成所有文件的创建和配置更新之后,可以运行本机的DNS解析服务了,有两种启动方式:
- 第一种:在“管理服务”右键单击
ISC BIND
服务进行启动 - 第二种:使用命令行(管理员模式)启动当前服务
这里主要介绍第二种启动方式:
启动当前服务:
C:\Program Files\ISC BIND 9\bin>net start named
ISC BIND 服务正在启动 .
ISC BIND 服务已经启动成功。
结束当前服务:
C:\Program Files\ISC BIND 9\bin>net stop named
ISC BIND 服务正在停止.
ISC BIND 服务已成功停止。
TroubleShooting
遇到如果现出“ Window 无法启动 ISC BIND 服务 错误1067
解决办法:
- 检查所有的文件是否全部导入到
C:\Program Files\ISC BIND 9\etc
中,需要包含的文件包括:- localhost.rev
- localhost.zone
- named.conf
- named.root
- rndc.key
- root.zone
- 检查目录
C:\Program Files\ISC BIND 9
目录的权限是否改为全部授权的权限 - 程序意外结束导致named.pid文件没有正确删除
- 检查目录
C:\Program Files\ISC BIND 9\etc
并删除 named.pid文件 - 再次启动ISC BIND服务
- 检查目录
4. Debian Server 下的安装配置
4.1 Debian 9.11.0 下载
新版的 Debian 的 Release 版本的链接: https://www.debian.org/releases/
历史的 Debian 版本下载: http://cdimage.debian.org/cdimage/archive/
其中,目前Virtual Private Server 常用的版本为:
Debian 7:Debian 7.8
Debian 8:Debian 8.0/8.2/8.5
Debian 9:Debian 9.1/9.9/9.11
最终考虑其适配的设备的范围以及稳定性,牺牲最新的 Debian特性以及架构,选择较为稳定的版本 Debian 9.11 进行下载,其磁力链接的下载地址为: http://bttracker.debian.org:6969/stat
下载的文件为: [Debian_9.11][magnet:?xt=urn:btih:5c9634e7805c8a5049afa92f99946edaa574d449&dn=debian-9.11.0-amd64-DVD-1.iso&tr=udp://bttracker.debian.org:6969&tr=http://bttracker.debian.org:6969/announce]
版本信息:
NAME="Debian GNU/Linux"
VERSION_ID="9"
VERSION="9 (stretch)"
VERSION_CODENAME=stretch```
4.2 安装Debian
安装的步骤省略...或者留到以后进行更补... 配置安装实体机与虚拟机的安装选项配置保持一致即可。
4.3 安装 BIND 9 服务到 Debian Server
在 Debian9 中查找和重启当前 BIND9 服务的命令是: sudo systemctl status bind9
和 sudo systemctl restart bind9
。
4.3.1 NS1 初始配置流程
1.Debian 的默认是没有安装sudo
工具的,这非常不方便,我们先安装sudo
工具,安装之前因为 Debian 9 的特性,需要修改apt
默认的源,其源文件为:/etc/apt/resources.list
doheras@debian:~$ su -
Password
root@debian:~# vi /etc/apt/resources.list
# 163
deb http://mirrors.163.com/debian/ stretch main
deb http://mirrors.163.com/debian/ stretch-updates main non-free contrib
deb-src http://mirrors.163.com/debian/ stretch-updates main non-free contrib
deb http://mirrors.163.com/debian-security/ stretch/updates main non-free contrib
deb http://httpredir.debian.org/debian stretch-backports main contrib non-free
# VirtualBox
deb http://download.virtualbox.org/virtualbox/debian stretch contrib
root@debian:~# apt-get update
root@debian:~# adduser doheras sudo
2.现在安装 sudo
工具
root@debian:~# apt-get install sudo -y
3.使用 sudo
工具 安装 BIND 9 并启动 BIND 9 服务
doheras@debian:~$ sudo apt install bind9 bind9utils bind9-doc
...
... Wait for Installation Complete
...
doheras@debian:~$ service /etc/bind/named start
4.将 BIND 9 设置成为 IPv4 模式,将下列的 OPTIONS = "-u bind"
设置成 OPTIONS = -u bind -4s
, 并重启BIND
服务。
doheras@debian:~$ sudo nano /etc/default/bind9
# startup options for the server
OPTIONS="-u bind -4"
doheras@debian:~$ sudo systemctl restart BIND9
5.请参照之前配置 Windows BIND 服务的流程,我们需要先配置 Debian 下的 BIND 服务 namemd.conf.options
。配置这个文件需要用到管理员权限,完成之后这些配置指定只有您自己的服务器(受信任的服务器)才能查询您的DNS服务器的外部域 (Domain)。
doheras@debian:~$ sudo nano /etc/bind/named.conf.options
acl "trusted" {
172.16.2.11;
172.16.2.12;
172.16.2.4;
172.16.2.5;
172.16.2.6;
};
options {
directory "/var/cache/bind";
// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113
// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.
// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113
// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.
// forwarders {
// 0.0.0.0;
// };
//=====================================================================$
// If BIND logs error messages about the root key being expired,
// you will need to update your keys. See https://www.isc.org/bind-keys
//=====================================================================$
dnssec-validation auto;
recursion yes;
allow-recursion {trusted;};
listen-on {172.16.2.11;};
allow-transfer {none;};
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
forwarders {
8.8.8.8;
8.8.4.4;
0.0.0.0;
};
};
6.更改完 named.conf.options
文件之后,需要更改 named.conf.local
文件来配置正向和反向代理,一般来说这个文件用来配置 DNS Zone。因为我们设定的主域是nyc3.example.com
,所以我们需要设定一个正向区域,用来转发和映射域名 nyc3.example.com
到子网 10.120.0.0/18
。
zone "nyc3.example.com" {
type master;
file "/etc/bind/zones/db.nyc3.example.com"; # zone file path
allow-transfer { 172.16.2.12; }; # ns2 private IP address - secon$
};
7.步骤6设定了DNS Zone 的正向区域,现在设定反向区域。如果您的服务器跨越多个专用子网,但位于同一数据中心,请确保为每个不同的子网指定其他区域和区域文件。 完成所有所需区域的添加后,保存并退出named.conf.local
文件。现在,我们的区域已在BIND中指定,我们需要创建相应的正向和反向区域文件。
zone "16.172.in-addr.arpa" {
type master;
file "/etc/bind/zones/db.16.172"; # 10.128.0.0/16 subnet
allow-transfer { 172.16.2.12; }; # ns2 private IP address - secondary
};
8.创建一个正向转发区域文档,转发区域文件是 BIND 用来转发DNS和查找DNS的文件,也就是说当DNS Server收到了一个DNS请求的时候,用来查找 Domain Name和对应IP之间的关系。
在前边的 步骤6 创建的正向区域文件的对应路径是 /etc/bind/zones
,我们创建一个这样的文件夹。
doheras@debian:~$ sudo mkdir /etc/bind/zones
创建完成之后,需要新建一个zone file
,在刚刚新建的文件夹中。
doheras@debian:~$ sudo cp /etc/bind/db.local /etc/bind/zones/db.nyc3.example.com
9.进入到修改/etc/bind/zones/db.nyc3.example.com
区域文件中修改成下边给出的文件内容:
;
; BIND data file for local loopback interface
;
$TTL 604800
@ IN SOA ns1.nyc3.example.com. admin.nyc3.example.com. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
; name servers - NS records
IN NS ns1.nyc3.example.com.
IN NS ns2.nyc3.example.com.
; name servers - A records
ns1.nyc3.example.com. IN A 172.16.2.11
ns2.nyc3.example.com. IN A 172.16.2.12
; 172.16.0.0/18 - A records
host1.nyc3.example.com. IN A 172.16.2.4
host2.nyc3.example.com. IN A 172.16.2.5
host3.nyc3.example.com. IN A 172.16.2.6
10.现在创建反向区域的文档 ,反向区域文件是我们为反向DNS查找定义DNS PTR记录的地方。我们需要创建的文件为: /etc/bind/zones/db.10.128
,复制的源文件为: /etc/bind/db.127
, 复制的命令为:
doheras@debian:~$ sudo cp /etc/bind/db.127 /etc/bind/zones/db.10.128
doheras@debian:~$ sudo nano /etc/bind/zones/db.10.128
创建完成之后的内容如下:
其中 PTR 的顺序为子网IP地址的倒序: 172.16.2.11
-> 11.2.16.172
; BIND reverse data file for local loopback interface
;
;
$TTL 604800
@ IN SOA nyc3.example.com. admin.nyc3.example.com. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
; name servers
IN NS ns1.nyc3.example.com.
IN NS ns2.nyc3.example.com.
; PTR Records
11.2 IN PTR ns1.nyc3.example.com. ; 172.16.2.11
12.2 IN PTR ns2.nyc3.example.com. ; 172.16.2.12
4.2 IN PTR host1.nyc3.example.com. ; 172.16.2.4
5.2 IN PTR host2.nyc3.example.com. ; 172.16.2.5
6.2 IN PTR host3.nyc3.example.com. ; 172.16.2.6
11.现在我们已经完成了所有文件的创建,现在需要检查创建的规则是否满足要求:
检查文件 named.config.options
的命令
doheras@debian:~$ sudo named-checkconf
检查 正向区域 (Forward Zone) 是否满足配置的要求
doheras@debian:~$ sudo named-checkzone nyc3.example.com /etc/bind/zones/db.nyc3.example.com
检查 反向区域 (Reverse Zone) 是否满足配置的要求
doheras@debian:~$ sudo named-checkzone 16.172.in-addr.arpa /etc/bind/zones/db.16.172
12.重启 BIND 服务 和 配置 UFW 服务在Debian 9服务器上以及允许BIND服务
- 重启 bind9 服务来使之前的配置生效
doheras@debian:~$ sudo systemctl restart bind9
- 安装和配置 UFW 服务在Debian 9 服务器上
#第一步
#安装UFW服务
doheras@debian:~$ sudo apt install ufw
#第二步
#需要配置一下IPv6的网络地址 如果您的Debian服务器已启用IPv6,请确保UFW配置为支持IPv6,以便它将管理IPv4之外的IPv6防火墙规则。请确保IPv6=yes
doheras@debian:~$ sudo nano /etc/default/ufw
...
# Set to yes to apply rules to support IPv6 (no means only IPv6 on loopback
# accepted). You will need to 'disable' and then 'enable' the firewall for
# the changes to take affect.
IPV6=yes
...
#第三步
#配置Policy 默认的配置是 所有连接进来的不能被允许 所有出去的都被允许
doheras@debian:~$ sudo ufw default deny incoming
doheras@debian:~$ sudo ufw default allow outgoing
#第四步
#允许SSH Connection
doheras@debian:~$ sudo ufw allow ssh
#第五步
doheras@debian:~$ sudo ufw enable
- 允许 BIND Service 从防火墙上通过(我也搞不清楚到底是哪一个...感觉服务名是不是不需要区分大小写)
doheras@debian:~$ sudo ufw allow bind9
doheras@debian:~$ sudo ufw allow Bind9
4.3.2 NS2 初始配置流程
1.配置的流程与 NS1 配置流程基本上相同,因为 NS2 作为 NS1 的备用DNS服务器,配置需要保持一样,这里附上详细的每个文件的配置内容。
named.config.options
doheras@debian:~$ sudo nano /etc/bind/named.conf.options
acl "trusted" {
172.16.2.11;
172.16.2.12;
172.16.2.4;
172.16.2.5;
172.16.2.6;
};
options {
directory "/var/cache/bind";
// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113
// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.
// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113
// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.
// forwarders {
// 0.0.0.0;
// };
//=====================================================================$
// If BIND logs error messages about the root key being expired,
// you will need to update your keys. See https://www.isc.org/bind-keys
//=====================================================================$
dnssec-validation auto;
recursion yes;
allow-recursion {trusted;};
listen-on {172.16.2.12;}; # 这个地方要换成ns2的网络地址
allow-transfer {none;};
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
forwarders {
8.8.8.8;
8.8.4.4;
0.0.0.0;
};
};
named.config.local
在主DNS服务器上定义与主域对应的从域。注意,类型是slave,文件不包含路径,并且有一个主指令,应该设置为主DNS服务器的私有IP地址。如果在主DNS服务器中定义了多个反向区域,请确保将它们全部添加到此处
//
// Do any local configuration here
//
// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";
zone "nyc3.example.com" {
type slave;
file "db.nyc3.example.com"; # zone file path
masters { 172.16.2.11; }; # ns1 private IP address - secon$
};
zone "16.172.in-addr.arpa" {
type slave;
file "db.16.172"; # 172.16.2.0/24
masters { 172.16.2.11; }; # ns1 private IP address - secondary
};
2.根据 NS1 配置流程安装和配置 UFW 服务,并开启 UFW 服务。
$ sudo ufw allow Bind9
4.4 配置 Client
说明: Client_n 为以上配置的 Host_n,其IPv4地址需要与上边的保持一致。
4.4.1 Ubuntu 20.04 客户端
1.首先,使用ip address
命令查询私网子网,找到与私网关联的设备。
$ ip address show to 172.16.2.0/24
会有一个输出:
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
inet 172.16.2.4/24 brd 172.16.2.255 scope global dynamic noprefixroute ens33
valid_lft 85520sec preferred_lft 85520sec
2.在 Ubuntu 的路径 /etc/netplan
路径下找到 *-private-nameservers.yaml
文件,其文件名可能会根据不同的设备而不同,请仔细检查该路径下的文件进行更改,比如说在我的虚机里我的文件就是 01-private-nameservers.yaml
。
$ sudo nano /etc/netplan/00-private-nameservers.yaml
内容为:
network:
version: 2
ethernets:
ens33: # Private network interface
nameservers:
addresses:
- 172.16.2.11 # Private IP for ns1
- 172.16.2.12 # Private IP for ns2
search: [ nyc3.example.com ] # DNS zone
3.完成配置之后,使用下边的命令让 NetPlan 采用新的配置,如果存在网络问题那么新的配置就会中断。如果你想要接收当前配置,那么就输入 Enter
。
$ sudo netplan try
Do you want to keep these settings?
Press ENTER before the timeout to accept the new configuration
Changes will revert in 117 seconds
4.现在,检查系统的DNS解析器以确定您的DNS配置是否已应用
$ sudo systemd-resolve --status
正确的内容会显示你刚刚配置的 DNS Server 和 DNS Domain
现在可以正确的使用DNS Server作为域名解析了~
4.4.2 CentOS 8 客户端
1.编辑/etc/sysconfig/network-scripts/ifcfg-ens33
文件。您可能必须用当前主机的主网络接口的名称替换ens33
,因为本次模拟搭建的环境为虚拟机环境,所以必须查看网卡是否对应。
查看网络配置,从下边的文字可以看出虚机的IP地址为: 172.16.2.6/24
,对应的网卡名称为: ens33
CentOS8$ ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 00:0c:29:e6:20:79 brd ff:ff:ff:ff:ff:ff
inet 172.16.2.6/24 brd 172.16.2.255 scope global dynamic noprefixroute ens33
valid_lft 84375sec preferred_lft 84375sec
inet6 fe80::22ec:5ec9:b729:d16d/64 scope link noprefixroute
valid_lft forever preferred_lft forever
3: virbr0: <BROADCAST,MULTICAST> mtu 1500 qdisc noqueue state DOWN group default qlen 1000
link/ether 52:54:00:3b:9a:58 brd ff:ff:ff:ff:ff:ff
4: virbr0-nic: <BROADCAST,MULTICAST> mtu 1500 qdisc fq_codel master virbr0 state DOWN group default qlen 1000
link/ether 52:54:00:3b:9a:58 brd ff:ff:ff:ff:ff:ff
因此,修改的文件名称为 /etc/sysconfig/network-scripts/ifcfg-ens33
CentOS8$ sudo nano /etc/sysconfig/network-scripts/ifcfg-ens33
将上述打开的文件更改为:
TYPE="Ethernet"
PROXY_METHOD="none"
BROWSER_ONLY="no"
BOOTPROTO="none" # 取消 DHCP 服务, 更改为 Static IP 模式
DEFROUTE="yes"
IPV4_FAILURE_FATAL="no"
IPV6INIT="yes"
IPV6_AUTOCONF="yes"
IPV6_DEFROUTE="yes"
IPV6_FAILURE_FATAL="no"
IPV6_ADDR_GEN_MODE="stable-privacy"
NAME="ens33"
UUID="2e9c162d-fbed-4f65-8a42-e69285538ac2"
DEVICE="ens33"
ONBOOT="yes"
IPADDR="172.16.2.6" # IP Address
NETMASK="255.255.255.0" # NetMask
GATEWAY="172.16.2.1" # Gateway / Router
DNS1="172.16.2.11" # ns1的IP地址
DNS2="172.16.2.12" # ns2的IP地址
DOMAIN='nyc3.example.com'
2.重启NetworkManager
服务
CentOS8$ sudo systemctl restart NetworkManager.service
3.安装 bind-utils
CentOS8$ sudo yum install bind-utils
4.查看 resolv.conf
确认配置是否生效
CentOS8$ cat /etc/resolv.conf
# Generated by NetworkManager
search nyc3.example.com
nameserver 172.16.2.11
nameserver 172.16.2.12
4.5 测试客户端
4.5.1 Forward Lookup Test
在客户端 (Host) 输入以下命令:
CentOS8$ nslookup host1
正确输出:
Server: 172.16.2.11
Address: 172.16.2.11#53
Name: host1.nyc3.example.com
Address: 172.16.2.4
4.5.2 Reverse Lookup
在客户端 (Host) 输入以下命令:
CentOS8$ nslookup 172.16.2.11
正确输出:
11.2.16.172.in-addr.arpa name = host1.nyc3.example.com.
4.6 维护 DNS 配置信息
再完成上边的任务之后,我们已经搭建了一个简单的 DNS 服务器 在虚拟机网络上,现在的任务是我们需要维护我们的 DNS记录来保证服务器的运作稳定和便于维护,这个功能可以及时、有效地反映服务器的环境以及运行情况。
4.6.1 添加一个新的Host到当前的BIND配置中
4.6.1.1 Primary Server - ns1
- 第一步: 将新主机的私有IP地址添加到受信任的ACL中(
named.conf.options
)。 - 第二步: 更改 Primary Server下的
db.nyc3.example.com
文件, 为新主机添加一条A
记录,增加Serial
的值;格式根据之前的格式来增加即可。 - 第三步:更改 Primary Server下的
db.16.172
文件,为新主机增加一条新的PTR
记录,增加Serial
的值,格式根据之前的格式来调整即可。 - 第四步:运行之前的配置过程的所有检查步骤。
- 第五步:重新启动 BIND9 服务。
4.6.1.2 Secondary Server - ns2
- 第一步: 将将新主机的私有IP地址添加到受信任的ACL中(
named.conf.options
)。 - 第二步: 检查配置文件是否正确:
sudo named-checkconf
- 第三步: 重启 Secondary Server的 BIND9 服务
4.6.1.3 Host-Client 配置
- 添加新的Host(客户端) 的流程就参照之前的步骤
4.6.2 DNS日志记录
从上边来看,我们可以为 DNS Server 增加一个 logging
模块,添加的内容为下边:
logging{
channel default_logfile {
file "/var/log/bind/example_1.log" versions 3 size 1m;
print-category yes;
print-severity yes;
print-time yes;
severity info;
};
channel default_querylogfile{
file "/var/log/bind/query.log" versions 3 size 1m;
print-category yes;
print-severity yes;
print-time yes;
severity info;
};
channel default_databaselogfile{
file "/var/cache/bind/data/database.log" versions 3 size 3m;
print-time yes;
print-severity yes;
severity debug;
};
category default {
default_logfile;
};
category queries {
default_querylogfile;
};
category database {
default_databaselogfile;
};
category unmatched { null; };
};
5. DNS Server的压力测试 - queryperf 工具
对于普通的DNS服务器来说,根据进行域名解析的过程不同,被分成了两种解析模式:递归查询和迭代查询。简单来比较这两个的区别:
递归查询
递归查询由客户端向本地域名服务器发送请求,然后等待本地域名服务器返回结果。
如果客户端向一个本地域名服务器请求一个域名的查询操作但是本地域名服务器并不知道查询域名的IP地址,那么本地域名服务器就会模仿扮演成客户端向根域名服务器发送继续查询的请求而不是让主机自己再向根域名服务器发送进行下一步的查询,直到查询到结果或者查询完所有的根域名服务器;
所以 查询的结果就是 一个特定的IP地址或者是未找到域名的报错信息。
迭代查询
如果根域名服务器收到了本地域名服务器发送的迭代查询请求报文时,要么给出所要查询的IP地址,要么返回引导的域名服务器进行查询,所以查询的动作如果不能给出最终的结果,那么就是给客户端返回一个DNS服务器列表供客户端继续查询。
从上边的概念来看,实现递归的DNS服务器性能评价更加困难,因为被测试的DNS服务器有可能与其他的根域名服务器或者是其他权威服务器进行查询交互,或者是管理以及维护之前了解到的域名数据缓存。
安装 queryperf
【等待补充】
配置 queryperf
【等待补充】
6. DNS Server的安全性配置
首先, BIND9 的 options
提供的 allow-query
参数可以对访问DNS解析服务器的客户端地址和网段进行限制,从而达到对陌生客户端和恶意IP地址的封禁。
named.config.options
中的参数 dnssec-enable
、dnssec-validation
等配置参数都是维护 DNS 服务器安全性的非常重要的配置参数,DNS 的设计起始于上世纪 80 年代,当时互联网规模小得多,安全性并非首要设计考虑因素。当DNS的递归解析器(DNS Resolver )向权威域名服务器发送查询请求的时候,解析器无法验证响应的真实性。解析器只需要检查响应的IP地址与解析器发送初始查询的IP地址是否相同。 但是, 这种检查机制存在一个非常严重的问题:权威域名服务器的请求包的源地址非常容易被伪造和仿冒,攻击者很容易冒充来自权威域名服务器的响应,然后伪装成解析器最初查询的权威域名服务器,因此可以很轻松将用户重定向到其他的恶意网站。
因为需要考虑到递归解析器可能被入侵的场景,域名解析器有一种缓存的机制用来加速解析流程,其原理是从权威域名服务器和根解析器时候收到的上次DNS数据存储到本地来加速下一次应答,避免查询一个或者多个权威服务器引发的服务延迟。然而,依靠缓存存在一个缺点,如果攻击者发送的假冒的DNS权威域名服务器响应被接受,那么其缓存就会被一直缓存在递归解析服务器中,因此之后所有的查询DNS Server 的主机都会接收到欺诈性DNS数据。如果用户访问银行网站,会怎么样?用户设备在其配置的递归域名服务器中查询银行网站的 IP 地址。不过,攻击者可以通过伪造IP地址向解析器注入恶意的缓存数据,届时 IP 地址并非指向目标合法网站,而是指向攻击者创建的某个网站。这个欺诈网站冒充银行网站,看上去毫无差别。用户会毫无防备地输入名称和密码,这就导致用户在不经意间向攻击者透露了自己的银行凭证,攻击者可以堂而皇之地以用户的身份登录合法银行网站进行转账或执行其他未经授权的操作。
对于解决这个问题, BIND 提供了一种名叫 DNSSEC
的安全扩展服务以及配套的密钥生成工具供网络人员使用。
DNSSEC
DNSSEC 采用基于公钥加密的数字签名技术来加强 DNS的验证强度。 DNSSEC 并非对DNS查询和响应的过程进行传输加密,而是数据所有者对 DNS 数据进行签名加密。
每一个 DNS Zone 在配置的时候 BIND 服务会为其创建一个公钥和私钥的配对的秘钥对。 DNS zone 的所有者使用该区域的私钥对区域内的DNS数据进行签名,并为这些数据生成签名。 DNS 解析器生成的 公钥 对该区域内所有的 DNS数据验证真实性。如果有效,证明DNS数据合法,则将所有的DNS数据返回给用户。如果没有通过验证,解析器会认为发生了攻击,丢弃数据并为用户返回错误。
DNSSEC 在 DNS协议中新增加的两个安全的功能:
- 数据来源验证 - DNS 解析器通过加密的方式验证收到的数据是否确实来自其认定的数据传送区域。
- 数据完整性保护 - DNS 解析器可以确信,自区域所有者使用私钥第一次进行数字签名,数据在传输过程中并未遭到修改。
每个zone都会发布一个公钥,递归解析器可以检索公钥以验证区域中的数据,区域的公钥也必须经过签名。
DS-records (Delegation Record)
DS-records 用来保证密钥分发的安全和DNS消息内容的分发安全;
常见的 DS-records的分发格式为:
- 关键字标签 (Key Tags):一个简短的数值,可以帮助快速识别所引用的DNSKEY记录;
- 算法 (Algorithm):引用 DNSKey-record 的密码学算法;
- 摘要类型 (Digest Type):用于创建摘要值的加密哈希算法;
- 摘要 (Digest):引用的DNSKEY记录的加密哈希值;
ZONE 文件安全配置分析
在 Debian9 下的所有的数据库文件都存储到了配置的文件夹中,其路径为:/etc/bind
,每创建一个新的 ZONE 的配置文件都会在当前路径下创建一个新的db
文件来记录资源地址和域名之间的映射关系,为了了解 DNSSEC在其中到底是怎么应用的,我们可以去分析这些文件的DNSSEC
公钥配置来明确 DNSSEC 在其中的配置原理。
在 Debian9 DNS服务器上配置密钥 - NS
1.首先需要在 named.config
文件以及引用文件中的 options
加入一下配置:
dnssec-enable yes;
dnssec-validation yes;
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
2.确定我们保存密钥的路径,一般来说保存 zone 的数据库文件的路径为: /var/cache/bind
,这个地方保存着 zone 配置的数据库文件。我们在这个地方新建一个文件夹 keys
,然后找到 dnssec-keygen
的配置文件夹,调用创建密钥的命令:
$ find / -name "dnssec-keygen"
/usr/sbin/dnssec-keygen
$ cd /var/cache/bind/keys
创建密钥的方式如下:
-a <algorithm>:
RSA | RSAMD5 | DSA | RSASHA1 | NSEC3RSASHA1 | NSEC3DSA |
RSASHA256 | RSASHA512 | ECCGOST |
ECDSAP256SHA256 | ECDSAP384SHA384 |
DH | HMAC-MD5 | HMAC-SHA1 | HMAC-SHA224 | HMAC-SHA256 |
HMAC-SHA384 | HMAC-SHA512
(default: RSASHA1, or NSEC3RSASHA1 if using -3)
-b <key size in bits>:
RSAMD5: [512..4096]
RSASHA1: [512..4096]
NSEC3RSASHA1: [512..4096]
RSASHA256: [512..4096]
RSASHA512: [1024..4096]
DH: [128..4096]
DSA: [512..1024] and divisible by 64
NSEC3DSA: [512..1024] and divisible by 64
ECCGOST: ignored
ECDSAP256SHA256: ignored
ECDSAP384SHA384: ignored
HMAC-MD5: [1..512]
HMAC-SHA1: [1..160]
HMAC-SHA224: [1..224]
HMAC-SHA256: [1..256]
HMAC-SHA384: [1..384]
HMAC-SHA512: [1..512]
(if using the default algorithm, key size
defaults to 2048 for KSK, or 1024 for all others)
# 执行创建一个 ZSK (Zone Signing Key) 的命令 注意一定要为 密钥配置
/var/cache/bind/keys$ sudo /usr/sbin/dnssec-keygen -L 3600 -a NSEC3RSASHA1 -b 2048 -n ZONE example.com
Generating key pair....................................................................................................+++++ .......+++++
Kexample.com.+007+59870
# 执行创建一个 Key Signing Key 的命令
/var/cache/bind/keys$ sudo /usr/sbin/dnssec-keygen -L 3600 -f KSK -a NSEC3RSASHA1 -b 4096 -n ZONE example.com
Generating key pair......................................................................................................................++++ ..............................................++++
Kexample.com.+007+01143
3.创建完密钥之后,现在该文件夹下边存在两组公钥和私钥,这两组公钥和私钥创建完成之后,已经创建在了当前的目录下 /var/cache/bind/keys
下,现在需要创建的公钥的引用信息导入到 ZONE 文件中让其生效。在这个过程中,需要明确的是新建的 ZONE 文件是之前创建的 db.nyc3.example.com
,所以需要将之前创建的ZONE文件引用新创建的两个公钥,Zone Signing Key
和 Key Signing Key
。
Debian9 默认的BIND软件的默认安装目录是:/etc/bind
,新创建的 ZONE 配置文件的目录是: /etc/bind/zones
,现在我们需要将刚才创建的密钥目录 /var/cached/bind/keys
复制到 /etc/bind/zones
目录下,以便随后去调用密钥来进行 ZONE 绑定。这里边有一个BIND9 设定的环境BUG,就是在 ZONE 文件引用的 keys 必须保存在和 ZONE文件相同的目录下,
$ sudo cp /var/cached/bind/keys/example*.* /etc/bind/zones
4.在/etc/bind/zones
中,我们需要将ZONE 文件引用新生成的 KSK 和 ZSK, 之后进行 ZONE 绑定:
/etc/bind/zones$ sudo nano nyc3.example.com # 更改后的文件 nyc3.example.com 内容如下
;
; BIND data file for local loopback interface
;
; Import ZSK / KSK
$INCLUDE Kexample.com.+007+01143.key
$INCLUDE Kexample.com.+007+59870.key
$TTL 604800
@ IN SOA ns1.nyc3.example.com. admin.nyc3.example.com. (
3 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
; name servers - NS records
IN NS ns1.nyc3.example.com.
IN NS ns2.nyc3.example.com.
; name servers - A records
ns1.nyc3.example.com. IN A 172.16.2.11
ns2.nyc3.example.com. IN A 172.16.2.12
; 10.128.0.0/18 - A records
host1.nyc3.example.com. IN A 172.16.2.4
host2.nyc3.example.com. IN A 172.16.2.5
host3.nyc3.example.com. IN A 172.16.2.6
引用完成之后,现在需要使用 /usr/sbin/dnssec-signzone
命令来签名 ZONE,使刚新建的公钥在ZONE上生效。
5.使用 /usr/sbin/dnssec-signzone
来签名 ZONE,生成新的signed
文件。具体的参数配置文件可以访问 dnssec-signzone,下边列举了我在这部分用到的参数以及相关参数配置的含义。
/etc/bind/zones$ sudo /usr/sbin/dnssec-signzone -AA -n 3 -3 $(head -c 1000 /dev/urandom | sha1sum | cut -b 1-16) -N INCREMENT -o example.com -t db.nyc3.example.com
Verifying the zone using the following algorithms: NSEC3RSASHA1.
Zone fully signed:
Algorithm: NSEC3RSASHA1: KSKs: 1 active, 0 stand-by, 0 revoked
ZSKs: 1 active, 0 stand-by, 0 revoked
db.nyc3.example.com.signed
Signatures generated: 17
Signatures retained: 0
Signatures dropped: 0
Signatures successfully verified: 0
Signatures unsuccessfully verified: 0
Signing time in seconds: 0.011
Signatures per second: 1439.092
Runtime in seconds: 0.016
-n ncpus
Specifies the number of threads to use. By default, one thread is started for each detected CPU.
-3 salt
Generate an NSEC3 chain with the given hex encoded salt. A dash (salt) can be used to indicate that no salt is to be used when generating the NSEC3 chain.
-A
When generating an NSEC3 chain set the OPTOUT flag on all NSEC3 records and do not generate NSEC3 records for insecure delegations.
Using this option twice (i.e., -AA) turns the OPTOUT flag off for all records. This is useful when using the -u option to modify an NSEC3 chain which previously had OPTOUT set.
-N soa-serial-format
The SOA serial number format of the signed zone. Possible formats are "keep" (default), "increment" and "unixtime".
"keep"
Do not modify the SOA serial number.
"increment"
Increment the SOA serial number using RFC 1982 arithmetics.
"unixtime"
Set the SOA serial number to the number of seconds since epoch.
-o origin
The zone origin. If not specified, the name of the zone file is assumed to be the origin.
-t
Print statistics at completion.
在当前路径下:/etc/bind/zones
,生成了多个新的文件
/etc/bind/zones$ ls
db.16.172 Kexample.com.+007+01143.key
db.nyc3.example.com Kexample.com.+007+01143.private
db.nyc3.example.com.signed Kexample.com.+007+59870.key
dsset-example.com. Kexample.com.+007+59870.private
运行完上边的命令之后,会生成几个新的文件,这些文件对接下来配置DNS权威域名服务器有帮助。至于反向解析DNS的配置我们留到最后根据之前的配置流程再进行配置。
6.目前我们已经创建了新的绑定ZONE
文件,生成新的 zone
文件的名字为 db.nyc3.example.com.signed
,因此先来比较一下命令 dnssec-signzone
为新的文件增加了什么。
/etc/bind/zones$ diff db.nyc3.example.com db.nyc3.example.signed
1,29c1,284
< ;
< ; BIND data file for local loopback interface
< ;
< ; Import ZSK / KSK
< ;
< ; ZSK / KSK
< $INCLUDE Kexample.com.+007+59870.key
< $INCLUDE Kexample.com.+007+01143.key
< ;
< $TTL 604800
< @ IN SOA ns1.nyc3.example.com. admin.nyc3.example.com. (
< 3 ; Serial
< 604800 ; Refresh
< 86400 ; Retry
< 2419200 ; Expire
< 604800 ) ; Negative Cache TTL
< ;
< ; name servers - NS records
< IN NS ns1.nyc3.example.com.
< IN NS ns2.nyc3.example.com.
<
< ; name servers - A records
< ns1.nyc3.example.com. IN A 172.16.2.11
< ns2.nyc3.example.com. IN A 172.16.2.12
<
< ; 10.128.0.0/18 - A records
< host1.nyc3.example.com. IN A 172.16.2.4
< host2.nyc3.example.com. IN A 172.16.2.5
< host3.nyc3.example.com. IN A 172.16.2.6
---
> ; File written on Sun Feb 7 06:08:22 2021
> ; dnssec_signzone version 9.10.3-P4-Debian
> example.com. 604800 IN SOA ns1.nyc3.example.com. admin.nyc3.example.com. (
> 4 ; serial
> 604800 ; refresh (1 week)
> 86400 ; retry (1 day)
> 2419200 ; expire (4 weeks)
> 604800 ; minimum (1 week)
> )
> 604800 RRSIG SOA 7 2 604800 (
> 20210309100822 20210207100822 59870 example.com.
> Rq5UwPjs2OB0rvGRGA4IP6AB5EzA5lRCF+ri
> L80hg3E3jskoFu9sPHiD77k9AXYJ7KccML/z
> 4mc3vRFic6Ms2xFeaFaCswLRKzYWd3hMuJ2f
> x+5tiI/R6HGBqug1o7WRt53IEbaog8vgqM+r
> wg5DXjO2Lm5bh2RdvDE0YYRvgSwG/Jz3Fm9E
> HaPZKejkVcMh8NWHWTCnndkiq41t4BQOoQZu
> bGxJzZYCVz0i0aKNGrJUT/KS4HeclXTzOpfI
> FknBrUO8EkNJgK+pI9/CGnPva0wyIhqI8rQk
> dlbII/DbV7ySiQjMymcu9qAtmmK+NEbyyzhJ
> 14Ti44Jb9R8rNNZGAQ== )
> 604800 NS ns1.nyc3.example.com.
> 604800 NS ns2.nyc3.example.com.
> 604800 RRSIG NS 7 2 604800 (
> 20210309100822 20210207100822 59870 example.com.
> 08stTHG8TEB68mMYeot4zLQdK6sycq/rMvxH
> Cbv/ot2ef/Mv1qcYhW/faxhQ6Hl/qZALJ+v2
> 6LFY3tpLbQ9Fua4oJ2yRFZUkKVy0B3h6PYPc
> Soc13cyhwcfydIm0BqI3iVk1icDVylRcDr+s
> RxWPY9Q931MTBGNexhEq4+dU7oBRkZ90sRXe
> G6wW057uRdvwn222f0tWehKqMSvZWu49MFxf
> dk5hGVICNtGyo1HZEBbYl+5gjMR/sEGoFqgy
> 5j38LCUcVkjXY+Ahc33ZJhYlcR1g2CodswMz
> zCH4b2ETGPUxiHb8jwl41IHXB1fY/ZhUYVs4
> 8J28j4ZhxU0nzjgMPQ== )
> 3600 DNSKEY 256 3 7 (
> AwEAAdeakN3vO7Rm22Khq7sACpdiJ+fDvrq2
> lNWxiaszGw+66cZtolhOX0p31hpIw0ZgYHCA
> 2hM9aChvgpxlfMxijPzgLBrjcqp5Q1O4U6HD
> oRa6USX0m6814tawIHK5WxTJYC8oMLuZxcH8
> mn6XV2hjHBG4Ish7TNdHpAdnrmgbpHx3pn9x
> EA5SkgkzypMcLKXpnTDcOnn5rh++KUGWKgdh
> f/GvH93iu9Oes/EYzYpnFxIsNz1uSRlFtXbI
> C+ug5LLKipRxqH+KlW67Fko/6GGvbIAjb3PA
> mCeE6ZHYu5xj/aoT5MYAZ/uOTB+Vzhh392Xx
> lPN0dq75W0BtWxKazLXNSd8=
> ) ; ZSK; alg = NSEC3RSASHA1; key id = 59870
> 3600 DNSKEY 257 3 7 (
> AwEAAccdkhssmVzMPNOrD7DaPnerx6VbQ2UE
> y0LVuqGAgmXaqb66JP8NDqYLxEPsNcxc7PSb
> /2+tcPGzjM+lDmpYpmr/PrD3FJga8P23V6R4
> htdGRY6h3uz2FA88Dyd0CJXpyHFPXFm8OlCw
> ZVbHChUADWL9ab4dqbUpoLUCwWNeej8gCMgr
> XU+doprSAGwVFzxMfliadMvaX8jIwQkAuACj
> +yHeh5aeGn+3g9Osm2JH9sQUDwVQVZp6i2xw
> VBnIq7ZIJp7WFISOT2WWjKOGJz3Tk/Qe37sJ
> c8peNfOMWHZlN1VyOj0OQA732MdjkD/hYq0M
> 043PFqGb4hbrqzkiZ0JqioR1d0XPfaYQOoJU
> CRuqpQBzEUAXGp+3axx36MRyQ6mlJDG/PGsI
> 4BgWhF4PjH8j7SPAD+VUUE62Cin5oUIYN5yU
> zx1aXUqcIxFhk37Yw1Y8KNO+54L+4SFJkeUO
> 9YHhZXbnprJGcSKB4x+gTd7XYXfsGyd2WGv+
> GvptqcN4pBySe9WURs9v/1xPCbBRHFzq7u4I
> E9aWr8PCQoAn97iITIEqWJVZ8cpqSgql0WgT
> pOCXc9IzX7hFRBcQihdFTpTkTtpr7DKMnHQR
> dnECok6jY/PVf44WLyza5L4Gcrur3eFEITaJ
> iE7htDnI7CXTAxtRANF7ZADQSIdcFkSx+5b+
> 1FpR
> ) ; KSK; alg = NSEC3RSASHA1; key id = 1143
> 3600 RRSIG DNSKEY 7 2 3600 (
> 20210309100822 20210207100822 1143 example.com.
> f1ciDXIjhF6dMV9A4ECaaXBg1OQKpCVczwff
> Z9oB5yfdGYVYVHq689jw9Avnmy1mevlyZ/0d
> VsxHjR5m5bgUnXun26IUmxtvOOA6Fr7pTbMU
> OujugesFbX0kY6auuMTbDdAnmxRe5T8OAhz/
> xRImQCPWwczJ+zhvFI4MCoe8LcKfjA1ffud9
> hTLBcjuonluCI8kutaKbYjvGCJuWxqcJSUHd
> 2bF9h/rxb13irgBtuuLigA7z83a7f1rI+Ag3
> gDwYhz2oV846mrYLQguZsAKUJqVgvME9Typc
> pd0Xx02aDr/fx4zuoXCj+M0J1X6vucnKnW9A
> 248dxOaE9g5HXwN2Fx8wblz3giF3mAY+WyXh
> h5uKCKEQfyEbt2fOt2e03DFGxpWUAJQP2jR3
> cMICFQHkUKboB9AfM1SpfpqPTQZoZwFoz4a9
> eZ5gvwge0z0l1lfLcQzhpzqRwpYVt78HpCpK
> 2IKLU3tbftDQXDhhNuZdraI5F6Dj0W0h8cHj
> frjugFEQWy5SBb4FPNOxXIS1MyZ0MVTH3qTk
> 8gxLcqShfb+1rlK0sLU/jMODJ3rxEZzgfW7i
> u4lDLMdOkqY5KrZtvH2q5hQoJ0/pS93AUHFe
> G1KFv+4sih6d1WSQIhanfefastE/l5hcvOZ9
> ppDV1azdNEnlchpuaViCXv9gAjksHKRrEW0= )
> 3600 RRSIG DNSKEY 7 2 3600 (
> 20210309100822 20210207100822 59870 example.com.
> byMBp8tQaSmkD2VMMWqDqmhPcozCVSy7f80H
> afR5B6nEi23ItYTubpq1P4ODiYmTItmPHP/L
> 5tOK6r6jlwnuZ0+YV1aFdGNpwOhsRK7b01Jv
> N5csU9P3vaGQ9MaRv1Q+hoXLf+yz5vPUFiNz
> qhQeuhzNBvIIyaB0Y9SjBW72lHLtTjLozpJe
> iyBQXhqaB4JV5mhMexCtlg78uf5a/ECihoLy
> nVs1e+pYaNYoVG7uKlVaT1uqBrX4MvXW9guN
> eAWK5U1ZPrzkyYqsx86+2vYveyykslC7HL+B
> NAHQPQ8PVwPabbrQbKbVjUdkPcj9iRMYkp3j
> Ug2goigJL1LJlWBsQA== )
> 0 NSEC3PARAM 1 0 10 5B1E2A0938A7120B
> 0 RRSIG NSEC3PARAM 7 2 0 (
> 20210309100822 20210207100822 59870 example.com.
> v1kpddaoUKrC3Ex9zV9LfdWqfOo1UY/KjKOK
> TXr1x8TJejaPJWtaChgV7DzzRv/ZlKZN+lS6
> lO/N1DPs9gwUWBRjA4+Dm6xqiRyoFevh5sbQ
> 7SjvfcW0f2WW+xtrGbhIW8jVoSL//fHwXiKm
> GcjnF6nYVG3H7Zo26jO6PU/p377VgdTxZabr
> Kc697VGB/LeC1lMAFvByv36AcWZEEgs7QSTs
> gFTPNaUhuVveYKZ/KtHu+v6wrWwEVwYlVS5s
> jH9Nfk1KpxUDuljmayhomBNB1xFjFtUMUbNm
> +KhpWx0HIdIodubHOZaz4z2g8MY1R2etDiPz
> G7P1HF8cfh0NCZvyrw== )
> host1.nyc3.example.com. 604800 IN A 172.16.2.4
> 604800 RRSIG A 7 4 604800 (
> 20210309100822 20210207100822 59870 example.com.
> v9elCCsc0Ib22HVDyWzEOGvSalscBf+SlBCT
> 3OB9oyZe7SH3Gcw727J55KDBjuQxp+9WqLhO
> DeibYisRGTHrmlOxYAQnVNT+4fL/puqNmJYi
> Y5IE8TiLc+9RfKm3QUP403jK8kF3aIybvuUm
> O9HgKUzH2eGBdwYLUrkwbg8MOJgiLCA7S3EY
> 5rrxZp3WDyKG7h3+BRBxzY7T/u330Xb9EzUQ
> 1ABq1BgKhxEdQhJAtZ0bYdRvAuqRKRcwzqNO
> avTw1eTR9HoPB8FpPPCv1cNMooicYOtehT55
> XHb1NXQ91WUxZjIS6nQJctUpd9/ZuL0xm3kz
> 5r/jfoi5E2uULqQxwA== )
> host3.nyc3.example.com. 604800 IN A 172.16.2.6
> 604800 RRSIG A 7 4 604800 (
> 20210309100822 20210207100822 59870 example.com.
> beSpI/cjL5Lj246JMxPxNH+tSBnnB6UVjtAW
> EhmjNntb+cGXVpjYAPFnG0UM80+TpEGbCb4W
> HK3kqYjUzbiYrPLI6Q0wNClu5xHNXsGJ870i
> fAW8OT5wztHMRNQp2tn39RvRk+cr2EdJmeej
> +M7Bjc+fQbLoJU9dlKoc13az0obursWYXIX9
> 4AGe0J8gG/jT62J95F5Z0nzWb1IQGK9TWf0T
> l+kSF+qRh76GLwnJZRBlQ1h5xmcBR0xAISng
> xCFzfxciOQh8At5ManogpLljOh3iqbAAqsh6
> f+0Dk8ilg0rK3FRwA6VwYdZVP3Bir6rsze6y
> FjEUEvn+GqiPJ9vXxg== )
> host2.nyc3.example.com. 604800 IN A 172.16.2.5
> 604800 RRSIG A 7 4 604800 (
> 20210309100822 20210207100822 59870 example.com.
> n5MjCD3hbx1Uj/X1x/umVbnunVSqafYudVvw
> Pt0Kl+FVAiva/F/N4UXkJLFh+M6MCwNsO2fG
> MFVr9Eyf1SgP6Jg4HKpTWFpINGYRWibFMQwo
> gVxDVoVnOLdOpD8Sse06sVlGhIoX6K2bbvId
> RCNU1zGHE0Jok1E0eafg39U3/03xQYe0Efbz
> nnKprAvoJdy75XQKUJvUBaR3leJazI2zWe2J
> 9GMBrfgdNCEMn7VvazXJ/Rl1i1gY5Qm35bP7
> nmMlZNGgleAVjVgFgVrqSHAgey7q4C0kipkK
> K8UixABZeGQbcyPFC3Mk+lDBVAO0aC8FO2ue
> avvhTviRtOOlxujguQ== )
> ns1.nyc3.example.com. 604800 IN A 172.16.2.11
> 604800 RRSIG A 7 4 604800 (
> 20210309100822 20210207100822 59870 example.com.
> 0OiF2YaBuJOkb7VhgufvPRlXOQUMVp+smbUQ
> s2ZpWdEt0JP1hqaXQwaGhbbKwlXGkZZazIBg
> ADhjTSMofpPsbxyaUxrjCNbkHeTO2oPK1bfD
> X2og7GSpt361yCrMpbfHEVXds3upHmwT5LV6
> 6IKCQozcWmf75lBkOyuu9qo9U6SAzNCqleiJ
> YrdxuIilx1IY4qw+woenaUf9R+WJ+l7eI51i
> Ju/pNfpowpTheNShX7NJcCOOlDASWGnk5om6
> bdqPE270d8MImmYsT9QX5D/+g5OV+n+oKP2z
> CwkqzIAZXPW8JASutmwneH54Pbb4A0FIZgWj
> mNWd4mvGdRxyopH8Bw== )
> 13NTQLTAL8GPRJ810B4IBC0PML5JT58O.example.com. 604800 IN NSEC3 1 0 10 5B1E2A0938A7120B (
> 1UQN7J8KHHVV55NJJDFMJRDGVEC9QK71
> A RRSIG )
> 604800 RRSIG NSEC3 7 3 604800 (
> 20210309100822 20210207100822 59870 example.com.
> fz7DqiOwgOU/8M9xpbhm5U2YfKjE+AspD0UR
> ZeeDvSIAfYa4whUsfB5OkrvIY3f38YqLBng4
> Wn0DY95Tn4TOuvj3dyLw0KKz6gP237fGLvp3
> rrrLRq1vWWgwZ02uYObSmJj9W34JUL/Om++y
> 9ZTN3Tp+nTvNjO5W43hwVCOkpRhu7QEQAGXz
> AE9zrxPkybiZW5UuY4b+lqTDYVv68c89qhE6
> +vR3zehwAIerEF0KzjBfigx4CKi1jfyixW4S
> 9eKR6PF5mwM9r2gOE4lSUhbluWqY7+SZPSYa
> wqLV4r+iCEgZ0ZJfcs1wmxJDFbsPVEHsJ9yk
> GaBhwUPLgJ7cV6CyXw== )
> ns2.nyc3.example.com. 604800 IN A 172.16.2.12
> 604800 RRSIG A 7 4 604800 (
> 20210309100822 20210207100822 59870 example.com.
> b8Xi4lg+h+FLgDyu3s03qpBt0RczciNGvMHs
> Szf+jEE5LxzGx+AS4DkPI8FPZ8KS0EWHSvtA
> ejfOuI/53v+8JH6WtSSG6D1EQQrgyWRSnqVW
> IsOSz6qLqPIeZIdlAshjlqOppKfamE5kCbXv
> W+97u+1UF8CHUwauYnH5L26Iaxzimmnorsvz
> hxPei0QD5mVo2LToT3MUu6JKJUq+xFUnQRHg
> h1laKbpFmdYzfviTzphF8AAH61FMa/5rBnxN
> ur44u8k4iRk5cvp0KOnosxpaEXf9gMlckgD+
> u+je7wmqEY7mT3y4YjuDLbXRkgyWhYuGl4Q9
> 0Su95pKOK8yuiVwa3w== )
> 1UQN7J8KHHVV55NJJDFMJRDGVEC9QK71.example.com. 604800 IN NSEC3 1 0 10 5B1E2A0938A7120B (
> 5TLGKO9HOD2H3QAS9UQBAQ0603N8NR68
> A RRSIG )
> 604800 RRSIG NSEC3 7 3 604800 (
> 20210309100822 20210207100822 59870 example.com.
> li4gfnT/ZWA5VfOC9w6yqDvfuL4PFI8BfnsV
> C9P7Am368Aqqp7jQx+w92FQYWeYq6+INj/Nf
> rwnACby+Ww2tvetQkUzsvREl3g/fS3LojLpL
> h6eRWzrExTHtO3OoawvgW5cL7tVENl7ap9LT
> WauRDBjIDJqdYlM1Z0Bj+v7M969zK5T1nDWR
> XKeVIaqWg72yyirgplz8eBSJbcxqnr7Sn4b1
> R1Jg6zshILjc4YZghIhydLDSq1rSq9sFMdOm
> eA8fmEYVkYqLRtbzw02LPUojvjX4cZGxg1/P
> g3/ykw8GTw1ofIlVnbSDFvePFKpqjZHjracr
> a2TTorw2KKKcY2HeLA== )
> 5TLGKO9HOD2H3QAS9UQBAQ0603N8NR68.example.com. 604800 IN NSEC3 1 0 10 5B1E2A0938A7120B (
> E97CJO1762D7LNI4EQQBO2AHH4J1PKPU
> A RRSIG )
> 604800 RRSIG NSEC3 7 3 604800 (
> 20210309100822 20210207100822 59870 example.com.
> ROYmoLb2SKcijA57tT514jVI7o9OGYIV2EnA
> t3IfQv6cNGnMr838W5hjEn0Y5oql+p0gio1i
> GelL9eC1a+pSvSixH68zLSTTmGFgCv/AE5Te
> vQaj04AQsI0TOtptOEdCOwmDP7dv73xxxRUT
> Msx8NjICSB+t93rARv+02aNHcKbTz+7IeIM+
> gFVSN2kLK30UEfdVjbhl0xwLgFNmXWLpkZ7C
> 1sdWYzmvjHj/YgeiMZwrcoHAeNSuiP42V7LX
> grRVxtkOsAEuPTDth79M9f60OQ3axASxWFnm
> CvscqxZGXn2JYCAQqyd+zZD0jSza7ODv2w17
> n2G6zrPHgudcQW5Muw== )
> E97CJO1762D7LNI4EQQBO2AHH4J1PKPU.example.com. 604800 IN NSEC3 1 0 10 5B1E2A0938A7120B (
> Q09V94K6VA53F14PKP1DMK1LKSQ8OVUV
> NS SOA RRSIG DNSKEY NSEC3PARAM )
> 604800 RRSIG NSEC3 7 3 604800 (
> 20210309100822 20210207100822 59870 example.com.
> gR/GrHYtdOXzxcjwN5DulGPIPN6ltIDfKyjX
> /m7dtdin/5nlbYjBgZYSSIfFpmN0ikDnIukf
> AcIOEPx4X3xSZoq4wu+8s34eF2vUAjqlNLkc
> IHhk010ianMYzOF6/vSwZ7hCDKp/GdjBqLJK
> AKh1CQTGm4DmlfR4L4lIeI4cJ6OwcvTfqJUQ
> Ih7JDyC1ZoryqHNXtPk6vXOm3Rhc+F58aTRz
> UYR27cKSKNYTe2fHCivPPyfv+nZN5i9M9p4d
> d8lkO4QS4IOsbnBnkkSXRneXwdvTX4lmQLjK
> j7mqarJfns/ORj9TNw7kcDp8+oNVAh2dlINV
> hFwhjP4EMkqrMujPhA== )
> Q09V94K6VA53F14PKP1DMK1LKSQ8OVUV.example.com. 604800 IN NSEC3 1 0 10 5B1E2A0938A7120B (
> U1EM83K3Q0K54RUULP79VC465MVDBSVG
> A RRSIG )
> 604800 RRSIG NSEC3 7 3 604800 (
> 20210309100822 20210207100822 59870 example.com.
> swUzi+Hs4Dge/Cmwf+yosK54EvA01eO2PHFR
> 1V3yXhRAy9mtjDtymTORLrMKi23pyl28/J8r
> xrWPuL0K8LsuYEtuc/6/l0h4hfuT5MTDGo6U
> qQrZaUGDleFAAqcvlVVR9GNRk5TXFJIIzLF+
> k8WBkMYU5kb6xgdohrwjcXg8mIMCNtCD78ck
> F2Od9iSLOwW0A87qQzCOQ8Smg5YjjZegmOv5
> NVxszQoEkHjB//lRR7E7z0D2CqOjgRESgeaI
> Voth53CA7nsm+TvT2XviB7yzRw51wrsphKlY
> 5Y2qLvjQGovZP6GXMC0ldZCnJHvmdlovdiO/
> 3J7wgeg5z9EGf2mv7A== )
> U1EM83K3Q0K54RUULP79VC465MVDBSVG.example.com. 604800 IN NSEC3 1 0 10 5B1E2A0938A7120B (
> VNETBTCMBLL9MBJLOPMK4N69D1DMI11B
> A RRSIG )
> 604800 RRSIG NSEC3 7 3 604800 (
> 20210309100822 20210207100822 59870 example.com.
> hKjN/3buiP/SU2sxU6aXUNcVSBm3NitKvIgK
> EXbQbWnzXrqR4bX2aHvOSDnrfFKe+khvF5Ld
> 8PgmsmAv+/uKI29T0Q0KOS3kGrF6LWvgtRYK
> MV7+pk57UzbNctYwdvsaynE0uPlR0nAMNI/K
> Z+j37nf+T+uc06Z2KVl1Y4ZTyD0DQvo1Zn8/
> Ijx5meEKvX9sfMzoxKESREk4mZjXvBbJ1Gl1
> /HLH42ov63Klp5zarVlkJCJircxlJWLFNT3v
> INGWCO6SGfbQ/ArsQB500i0tle3/8XQP7nrD
> zLA8yMICVHQTicIdeqtvx7RF0g1seYUjS6Um
> heDXZKGelLakf3Y6Jg== )
> VNETBTCMBLL9MBJLOPMK4N69D1DMI11B.example.com. 604800 IN NSEC3 1 0 10 5B1E2A0938A7120B (
> 13NTQLTAL8GPRJ810B4IBC0PML5JT58O )
> 604800 RRSIG NSEC3 7 3 604800 (
> 20210309100822 20210207100822 59870 example.com.
> I6vRt/NJHsZxOMfK/zUBefKKbHmrao584uda
> qwiANC4WqKNauXjad1KSfbEvUW3zsuyVUjo8
> F7bz8VvDI0KQZ1511n9bdUa25MBoCFL1iwk/
> 8EOmWhTdJZSJcRoVpXUvPxg1R9M2+KwD7lOa
> ZGitwlCNypqVsmnTGAsUsUaQmus28zoQzI98
> 3APB/OhJrvK/Xz25oPrMTKRUZ1RkrMPunFCH
> GiMZrLZzYfCnmLTAcLNSXi4K8OEi1f+1+UGw
> tRxJQInCkx5wlyzHyuGlQaRD6ozeBpT7W6ri
> BbM9+XWvQavvfSzlvpdx4ksMJMONuZahRvLo
> 8rysUcz4pZuUQ4xwEQ== )
从上边的文件对比,我们可以看出对于一条新的DNS资源记录都新增了一个公钥和加密后的域名地址,整个文件的大小横向增长,新生成的 ZONE
文件需要替代之前老的 ZONE
文件,因此需要更改原始的 named.config.zone
配置来适配新的配置。
/etc/bind/zones$ sudo nano named.conf.local
//
// Do any local configuration here
//
// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";
zone "nyc3.example.com" {
type master;
file "/etc/bind/zones/db.nyc3.example.com.signed"; # zone file path
allow-transfer { 172.16.2.12; }; # ns2 private IP address - secon$
};
zone "16.172.in-addr.arpa" {
type master;
file "/etc/bind/zones/db.16.172"; # 10.128.0.0/16 subnet
allow-transfer { 172.16.2.12; }; # ns2 private IP address - secondary
};
重启 BIND9 服务,这个时候已经配置好了安全设置。
/etc/bind/zones$ sudo systemctl restart BIND9
ISC BIND9 - 最详细、最认真的从零开始的BIND 9 服务讲解的更多相关文章
- MySQL的安装(比较详细的安装步骤,包括客户端和服务端的安装,还有环境变量的配置以及使用Windows service启动MySQL)
1.MySQL官网下载操作系统对应的MySQL安装包,解压之后就可以直接使用(免安装). MySQL安装包,一种是MySQL Enterprise Edition (commercial)企业版,还有 ...
- Android性能优化:布局优化 详细解析(含<include>、<ViewStub>、<merge>讲解 )
1. 影响的性能 布局性能的好坏 主要影响 :Android应用中的页面显示速度 2. 如何影响性能 布局影响Android性能的实质:页面的测量 & 绘制时间 1个页面通过递归 完成测量 & ...
- docker从零开始(三)服务初体验docker compose
决条件 安装Docker 1.13或更高版本. 获取Docker Compose.在适用于Mac的Docker和适用于Windows的Docker上,它已预先安装,因此您可以随意使用.在Linux系统 ...
- Java进阶专题(二十二) 从零开始搭建一个微服务架构系统 (上)
前言 "微服务"一词源于 Martin Fowler的名为 Microservices的,博文,可以在他的官方博客上找到http:/ /martinfowler . com/art ...
- 超详细 值得收藏 linux CentOS 7 配置Apache服务【转发+新增】
一.Apache简介 Apache HTTP Server(简称Apache)是Apache软件基金会的一个开放源代码的网页服务器软件,可以在大多数电脑操作系统中运行,由于其跨平台和安全性(尽管不断有 ...
- 在django中如何从零开始搭建一个mock服务
mock概念 mock 就是模拟接口返回的一系列数据,用自定义的数据替换接口实际需要返回的数据,通过自定义的数据来实现对下级接口模块的测试.这里分为两类测试:一类是前端对接口的mock,一类是后端单元 ...
- 超详细windows安装mongo数据库、注册为服务并添加环境变量
1.官网下载zip安装包 官网地址https://www.mongodb.com/download-center/community?jmp=nav,现在windows系统一般都是64位的,选好版本. ...
- DNS服务器的配置与应用: BIND9 的安装与配置
3. BIND9 的安装与配置 3.1 bind简介 BIND (Berkeley Internet Name Domain)是Domain Name System (DNS) 协议的一个实现,提供了 ...
- DirectX 使用 Vortice 从零开始控制台创建 Direct2D1 窗口修改颜色
本文将告诉大家如何使用 Vortice 底层库从零开始,从一个控制台项目,开始搭建一个最简单的使用 Direct2D1 的 DirectX 应用.本文属于入门级博客,期望本文能让大家了解 Vortic ...
随机推荐
- HDU-6704 K-th occurrence(后缀数组+主席树)
题意 给一个长度为n的字符串,Q次询问,每次询问\((l,r,k)\) , 回答子串\(s_ls_{l+1}\cdots s_r\) 第\(k\) 次出现的位置,若不存在输出-1.\(n\le 1e5 ...
- Educational Codeforces Round 91 (Rated for Div. 2) A. Three Indices
题目链接:https://codeforces.com/contest/1380/problem/A 题意 给出一个大小为 $n$ 的排列,找出是否有三个元素满足 $p_i < p_j\ and ...
- 2019HDU多校 Round6
Solved:2 02 Nonsense Time (LIS) 题意:给定一个全排列 最开始为空的 每秒中一个位置上的数出现 求每秒的LIS 题解:题解说 考虑时光倒流 倒着消掉 因为数据随机 所以期 ...
- 南阳ccpc C题 The Battle of Chibi && hdu5542 The Battle of Chibi (树状数组优化+dp)
题意: 给你一个长度为n的数组,你需要从中找一个长度为m的严格上升子序列 问你最多能找到多少个 题解: 我们先对原序列从小到大排序,排序之后的序列就是一个上升序列 这里如果两个数相等的话,那么因为题目 ...
- zjnu1181 石子合并【基础算法・动态规划】——高级
Description 在操场上沿一直线排列着 n堆石子.现要将石子有次序地合并成一堆.规定每次只能选相邻的两堆石子合并成新的一堆, 并将新的一堆石子数记为该次合并的得分.允许在第一次合并前对调一 ...
- Educational Codeforces Round 56 (Rated for Div. 2) D. Beautiful Graph (二分图染色)
题意:有\(n\)个点,\(m\)条边的无向图,可以给每个点赋点权\({1,2,3}\),使得每个点连的奇偶不同,问有多少种方案,答案对\(998244353\)取模. 题解:要使得每个点所连的奇偶不 ...
- 被收费绘图工具 PUA 了怎么办?来看看这个老实工具吧
本文非常适合 Electron 入门选手,墙裂推荐! 本文作者:HelloGitHub-蔡文心 大家好!这里是 HelloGitHub 推出的<讲解开源项目>系列,今天给大家带来的一款基于 ...
- 谈到云原生, 绕不开"容器化"
传送门 什么是云原生? 云原生设计理念 .NET微服务 Containers 现在谈到云原生, 绕不开"容器". 在<Cloud Native Patterns>一书中 ...
- 一篇文章图文并茂地带你轻松实践 HTML5 history api
HTML5 history api 前言 由于笔者在网络上没有找到比较好的关于 history api 的实践案例,有的案例过于杂乱,没有重点,有些案例只是告诉读者 api 是什么,却没告诉怎么用,本 ...
- chrome禁用缓存:调试javascript注意事项
chrome禁用缓存:调试javascript chrome对js和图片的缓存,导致调试的程序不是最新的,有时F5刷新了都没用. 可以禁用缓存: 先按F12,再按F1, 勾选 Disable ca ...