第九周作业

一、简述加密算法的原理:

用户空间与内核空间交换数据可通过加密协议进行加密(解密)来确保安全,(数据也可选着不进行加密)

image

加密算发分类:

对称加密 :数据保密

公钥加密:身份认证、密钥交换、数据加密(不常用,比对称加密慢3个数量级)

单向加密:保证数据的完整性

对称加密的加密图示:

发送端与接收端使用同一密钥进行加密或解密,将原始数据分割成固定大小的块,通过加密协议逐个进行加密,而接收方使用密钥进行单个解密重组文件。

image

公钥加密:

加密和解密使用的是同一对密钥(即:公钥、私钥)私钥是服务端创建的属于用户私用,公钥是从私钥中提取产生的,可向所有人公开,使用公钥加密的文件只用通过这对密钥的私钥进行解密,相比对称机密安全性更高,但对资源占用率也大。

![iagme]

单向加密:

单向加密的原理是提取数据的之‘指纹信息’进行加密并定长显示出来,一旦读取的指纹信息有丝毫偏差都会产生截然不容的结果,即称为雪崩效应。

定长输出:

[root@localhost ~]# md5sum /etc/passwd /etc/issue
4b488ac773035573a6a838c0eed7253c  /etc/passwd
f078fe086dfc22f64b5dca2e1b95de2c  /etc/issue

[root@localhost ~]# sha224sum /etc/passwd /etc/issue
f7c56524f9ac472310abc2d17ccdca3740ce1d9ded251f2b30287dab  /etc/passwd
172dc10d5bac2a9551c4ef09eb81331cae4c30d07861a9a0f254082d  /etc/issue

 

雪崩效应:

[root@localhost ~]# echo "abc" | sha224sum
f5c93b6f06f7c56d7ea720c121e3b1fb6730e5cf5f18d776bf0f2d88  –

[root@localhost ~]# echo "Abc" | sha224sum
023a17e1746f568423ab4c294dca639177fea3afa2904202b4cd153e  –
[root@localhost ~]#

 

二、使用apche 搭建使用自签证书实现https访问,自签证书的域名自拟

环境:两台电脑

CA 服务(192.168.1.115)

客户端(192.168.1.131)

软件:apache httpd

步骤:

1-1、首先在ca 服务器生成私钥.

[root@MiWiFi-R3-srv pki]# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)
Generating RSA private key, 4096 bit long modulus
………………………………………………………………………………………………………………………………………………………………………….++
……………………..++
e is 65537 (0x10001
)

1-2、生成自签证书

[root@MiWiFi-R3-srv pki]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3655
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
—–
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:shandong
Locality Name (eg, city) [Default City]:tengzhou
Organization Name (eg, company) [Default Company Ltd]:mageedu
Organizational Unit Name (eg, section) []:ops
Common Name (eg, your name or your server's hostname) []:ca.magedu.com
Email Address []:

1-3、创建CA所需要的目录及文件

[root@MiWiFi-R3-srv pki]# mkdir -pv /etc/pki/CA/{certs,crl,newcerts}
mkdir: 已创建目录 "/etc/pki/CA/certs"
mkdir: 已创建目录 "/etc/pki/CA/crl"
mkdir: 已创建目录 "/etc/pki/CA/newcerts"
[root@MiWiFi-R3-srv pki]# touch /etc/pki/CA/{serial,index.txt}
[root@MiWiFi-R3-srv pki]# echo 01 > /etc/pki/CA/serial

2-1、客户端申请证书 (192.168.1.131)

[root@localhost ~]# mkdir -pv /etc/httpd/ssl
mkdir: 已创建目录 "/etc/httpd"
mkdir: 已创建目录 "/etc/httpd/ssl"
[root@localhost ~]# cd /etc/httpd/ssl

2-2、用到的证书的主机生成私钥

[root@localhost ssl]# (umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)
Generating RSA private key, 2048 bit long modulus
……………………………………..+++
……………………………………………………………….+++
e is 65537 (0x10001)

2-3、生成证书签署请求

[root@localhost ssl]# openssl req -new -key /etc/httpd/ssl/httpd.key -out /etc/httpd/ssl/httpd.csr -days 365
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
—–
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:shandong
Locality Name (eg, city) [Default City]:tengzhou
Organization Name (eg, company) [Default Company Ltd]:mageedu
Organizational Unit Name (eg, section) []:ops
Common Name (eg, your name or your server's hostname) []:www.magedu.com
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:123456
An optional company name []:a

2-4、将申请一可靠的方式发送给ca主机(192.168.1.115),这里仅作简单传输。

[root@localhost ssl]# scp httpd.csr root@192.168.1.101:/tmp/
root@192.168.1.101's password: 
httpd.csr                                                                                       100% 1066     1.0KB/s   00:00 

1-4、CA 主机签发证书

[root@MiWiFi-R3-srv pki]# openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365
Using configuration from /etc/pki/tls/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 1 (0x1)
        Validity
            Not Before: Apr 29 14:59:43 2018 GMT
            Not After : Apr 29 14:59:43 2019 GMT
        Subject:
            countryName               = CN
            stateOrProvinceName       = shandong
            organizationName          = mageedu
            organizationalUnitName    = ops
            commonName                = www.magedu.com
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            Netscape Comment: 
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier: 
                52:45:76:06:A8:43:FC:2B:E4:71:D1:F1:F0:EF:C7:A3:AB:76:66:29
            X509v3 Authority Key Identifier: 
                keyid:39:B3:4B:48:C3:28:1A:4B:D0:6E:A1:4F:5E:1A:47:AD:CE:85:CC:00

Certificate is to be certified until Apr 29 14:59:43 2019 GMT (365 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

1-5、查看证书信息

[root@MiWiFi-R3-srv pki]# openssl x509 -in /etc/pki/CA/certs/httpd.crt -noout -serial -subject
serial=01
subject= /C=CN/ST=shandong/O=mageedu/OU=ops/CN=www.magedu.com

1-6、查看证书序列

[root@MiWiFi-R3-srv CA]# cat /etc/pki/CA/index.txt
V    190429145943Z        01    unknown    /C=CN/ST=shandong/O=mageedu/OU=ops/CN=www.magedu.com

 

三、简述DNS服务器原理并搭建主、辅服务器

DNS服务器原理

DNS服务器是一种基于C/S架构,运行在应用层的一种协议,监听在53号端口发送请求和响应请求,进行名称接解析,解析的过程就是通过DNS服务器的数据库对照查询后(将名称解析成IP)正向解析或进行反向解析(IP解析成名称)


例如: www.magedu.com.  的IP地址为 10.204.11.1 
其中 magedu.com. 就是域,域还包括:
   www.magedu.com    IP1
   ftp.magedu.com       IP2
   bbs.magedu.com      IP3 
   cloud.magedu.com   IP4
 

域分为

  顶级域名
  二级域名
  三级域名
  国家代码域名
   

所有的FQNS和IP都存在于一个倒树结构的DNS服务器分支下,表示为最高级别根(用符号 【.】 表示)

image

DNS名称解析的两种方式:

1、正向解析

       名称 –> IP

2、反向解析

      IP –> 名称

此两种解析为完全不同的两套根。

DNS服务器类型也分为两种:

1、负者解析的主、辅服务器

2、另一种则是指缓存并记录解析过服务器信息

DNS 两种查询方式:

1、递归式查询:递归式查询的DNS 服务器必须回应给客户端一个具体的解析信息。

2、迭代式查询:迭代式DNS服务器查询的无果将此申请转发至其他DNS服务器进行查询,直至查询出结果。

image

DNS解析过程示例: 访问 pan.baidu.com. 

1、客户端在浏览器输入 pan.baidu.com. 首先会去解析本机hosts 文件是否有记录的地址信息学,如果没有则向上一级申请查询;image

2、DNS服务器接收到客户端后进行查询,如果没有则向上一级根【.】DNS服务器申请查询。

3、根【.】DNS服务器如果没有记录则将对地址【pan.baidu.com.】至左而右进行解析,【.:代表根,com:代表区域域,baidu:代表名称,pan:代表类型】逐层想下查询,

4、在baidu DNS服务器接收到请求后进行响应并将结果传递,每一层都将结果缓存并记录,最终交由客户端也将结果记录在hosts文件中。

 

主辅 DNS 服务器

imageimage

主、辅服务器的关系:

1、主DNS服务器:是可以进行解析域数据库的服务器,也可进行写入新的数据库。

2、辅DNS服务器:是主DNS服务器的解析库的实时备份,只能进行域解析操作不能记录客户端的新数据。

主、辅 DNS 服务器备份条件:

1、当主 DNS 服务器数据更新式,服务器的版本则会发生变化,此时则同时辅DNS 服务器进行增量更新。

2、辅DNS 服务器也会固定间隔时间对主DNS服务器版本好进行查询,确认是否需要更新。

3、当辅DNS 服务器查询主DNS服务器时出错,便会等待一段时间后重新尝试连接。

4、当多次重连依然无法联系到主DNS 服务器后,将放弃从主DNS 服务器更新并停止服务

5、无法得到回应的等待时长。

区域数据库文件:

资源记录类型:

1、NS:域名服务记录:一个区域解析库处理有一个主还可以有多个。
     name:解析区域的区域名称
     value: 解析区域的DNS服务器名称 (例如:ns.magedu.com)
2、A:address ,地址记录; FQDN解析IPv4
     name:主机的FQDN;
     value:IPv4地址;
3、AAAA:地址记录; FQDN解析IPv6
     name:FQDN
     value:IPv6
4、CNAME:别名记录;
      name:FQDN格式的别名;
      value:FQDN格式的正式名字
5、PRT:IP–>FQDN
      name:IP地址,有特性格式,IP放过来写,而且加特定后缀,例如1.2.3.4的记录实际写为4.3.2.1.in-addr.arpa.:value:FQND
6、MX:邮箱交换器;拥有优先级0-99;数字越小级别越高。
7、SOA:起始授权记录,每个区域只有一个SOA记录。
      name:当前区域的名字;
      value:有多部分组成
                当前区域的区域名称,主机DNS服务器名称
               当前其余管理员的邮箱地址,地址中@必须用点代替。
               主机服务协调属性的定义及否定答案的TTL。
注意的几点:

1、TTL可以全局集成

2、@标示当前区域的名称。

3、相邻的两条记录name相同时,后边的可省略;

4、对于正向区域来说,各MX,NS等类型的记录value为FQDN,此FQDN必须有一个A记录;

通过 bind 来实现 配置 DNS服务器地址:

两台CentOS 7 主机

主服务器地址:192.168.1.110

辅服务器地址:192.168.1.147

关闭防火墙 

CentOS 6:
# service iptables  stop
# chkconfig  iptables  off 
CentOS 7:
# systemctl  stop  firewalld.service 
# systemctl  disable  firewalld.service

配置正向解析库

1、安装服务软件,并且修改配置文件将本机添加至监控主机。

~]# yum -y install bind
~]# vim /etc/named.conf
options {
        listen-on port 53 { 127.0.0.1; 192.168.1.110; };  添加本机地址
        listen-on-v6 port 53 { ::1; };


    //allow-query     { localhost; };   关闭


        dnssec-enable no;  关掉
        dnssec-validation no;  关掉


zone "magedu.com" IN {        添加一个自定义的域文件
      type  master;
      file  "magedu.com.zone";
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

2、创建自定义的域文件。magedu.com.zone

~]#  vim /var/named/magedu.com.zone
内容如下:
$TTL 3600
$ORIGIN magedu.com.
@          IN    SOA    ns1.magedu.com.    dnsadmin.magedu.com. (
             2018051201
             1H
             10M
             3D
             1D )
      IN             NS        ns1
      IN             MX       10 mx1
      IN            MX        20 mx2
ns1        IN          A               192.168.1.50
mx1       IN          A               192.168.1.51
mx2       IN          A               192.168.1.52
www      IN          A               192.168.1.53
web       IN          CNAME      www
bbs        IN          A                192.168.1.54
bbs        IN          A                192.168.1.55

3、设定 magedu.con.zone 组为named然后修改权限为其他用户无权限

~]# chgrp named magedu.com.zone
~]# chmod o= /var/named/magedu.com.zone

4、检查语法错误并检查区域配置文件错误

~]# named-checkconf
~]# named-checkzone magedu.com /var/named/magedu.com.zone

5、重载区域配置并使用测试

~]# rndc reload
~]# dig -t A web.magedu.com @192.168.1.110

; <<>> DiG 9.9.4-RedHat-9.9.4-51.el7_4.2 <<>> -t A web.magedu.com @192.168.1.110
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 9158
;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 1, ADDITIONAL: 2
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;web.magedu.com.            IN    A

;; ANSWER SECTION:
web.magedu.com.        3600    IN    CNAME    www.magedu.com.
www.magedu.com.        3600    IN    A    192.168.1.53

;; AUTHORITY SECTION:
magedu.com.        3600    IN    NS    ns1.magedu.com.

;; ADDITIONAL SECTION:
ns1.magedu.com.        3600    IN    A    192.168.1.50

;; Query time: 0 msec
;; SERVER: 192.168.1.110#53(192.168.1.110)
;; WHEN: 五 5月 11 21:37:44 EDT 2018
;; MSG SIZE  rcvd: 111

反向解析库配置:

1、添加配置信息

[root@localhost named]# vim /etc/named.rfc1912.zones



zone "1.168.192.in-addr.arpa" IN {      添加反向解析文件
           type master;
           file "172.16.100.zone";
};

2、新增配置文件

$TTL    3600
$ORIGIN    1.168.192.in-addr.arpa;
@    IN    SOA    ns1.magedu.com.    nsadmin.magedu.com. (
        2018051201
        1H
        10M
        3D
        12H )
  IN        NS    ns1.magedu.com.
50    IN    PTR    ns1.magedu.com.
51    IN    PTR    mx1.magedu.com.
52    IN    PTR    mx2.magedu.com.
53    IN    PTR    bbs.magedu.com.
54    IN    PTR    bbs.magedu.com.
55    IN    PTR    www.magedu.com.

 定义的需要位数不能超出限定的格式10个数值

修改权限、属组、并做语法检查

~]# chgrp named /var/named/192.168.1.zone 
~]# chmod o= /var/named/192.168.1.zone
~]# named-checkconf

重载区域配置及测试
~]# rndc reload
~]# dig -x 192.168.1.50 @192.168.1.110

; <<>> DiG 9.9.4-RedHat-9.9.4-51.el7_4.2 <<>> -x 192.168.1.50 @192.168.1.110
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 62861
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;50.1.168.192.in-addr.arpa.    IN    PTR

;; ANSWER SECTION:
50.1.168.192.in-addr.arpa. 3600    IN    PTR    ns1.magedu.com.

;; AUTHORITY SECTION:
1.168.192.in-addr.arpa.    3600    IN    NS    ns1.magedu.com.

;; ADDITIONAL SECTION:
ns1.magedu.com.        3600    IN    A    192.168.1.50

;; Query time: 0 msec
;; SERVER: 192.168.1.110#53(192.168.1.110)
;; WHEN: 六 5月 12 01:43:07 EDT 2018
;; MSG SIZE  rcvd: 112

 

辅 DNS服务器

安装bind

~]# yum -y install bind

1、修改配置文件

[root@localhost ~]# vim /etc/named.conf
//
options {
    listen-on port 53 { 127.0.0.1;  192.168.1.147; }; 添加本机地址


    //allow-query     { localhost; };   关闭


    recursion no;    关掉
    dnssec-enable no;    关掉
    dnssec-validation no;    关掉

2、添加 域

[root@localhost ~]# vim /etc/named.rfc1912.zones




zone "magedu.com" IN {                添加正向解析域
      type slave;
      file "slaves/magedu.com.zone";
      masters { 192.168.1.110; };              添加主服务器地址
};

zone "1.168.192.in-addr.arpa" IN {     添加反向解析域
      type slave;
      file "slaves/192.168.1.zone";
      masters { 192.168.1.110; };        
};

3、正向解析测试

[root@localhost slaves]# dig -t A ftp.magedu.com @192.168.1.147
; <<>> DiG 9.9.4-RedHat-9.9.4-61.el7 <<>> -t A ftp.magedu.com @192.168.1.147
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52373
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;ftp.magedu.com.            IN    A

;; ANSWER SECTION:
ftp.magedu.com.        3600    IN    A    192.168.1.56

;; AUTHORITY SECTION:
magedu.com.        3600    IN    NS    ns2.magedu.com.
magedu.com.        3600    IN    NS    ns1.magedu.com.

;; ADDITIONAL SECTION:
ns1.magedu.com.        3600    IN    A    192.168.1.50
ns2.magedu.com.        3600    IN    A    192.168.1.147

;; Query time: 0 msec
;; SERVER: 192.168.1.147#53(192.168.1.147)
;; WHEN: 六 5月 19 03:26:56 EDT 2018
;; MSG SIZE  rcvd: 127

4、反向解析测试

[root@localhost slaves]# dig -x 192.168.1.55 @192.168.1.147
; <<>> DiG 9.9.4-RedHat-9.9.4-61.el7 <<>> -x 192.168.1.55 @192.168.1.147
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 35517
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;55.1.168.192.in-addr.arpa.    IN    PTR

;; ANSWER SECTION:
55.1.168.192.in-addr.arpa. 3600    IN    PTR    www.magedu.com.

;; AUTHORITY SECTION:
1.168.192.in-addr.arpa.    3600    IN    NS    ns1.magedu.com.

;; ADDITIONAL SECTION:
ns1.magedu.com.        3600    IN    A    192.168.1.50

;; Query time: 0 msec
;; SERVER: 192.168.1.147#53(192.168.1.147)
;; WHEN: 六 5月 19 03:27:21 EDT 2018
;; MSG SIZE  rcvd: 116

子域服务器:192.168.1.103

1、首先在父域服务器将添加至magedu.zone (192.168.1.110)并授权 授权给子服务器

[root@localhost named]# vim /var/named/magedu.com.zone 
$TTL    3600
$ORIGIN magedu.com.
@       IN      SOA     ns1.magedu.com. dnsadmin.magedu.com. (
                2018051202   更新序列号
                1H
                10M
                3D
                1D )
           IN          NS        ns1
ops     IN          NS        ns1.ops   添加
           IN          MX     10 mx1
           IN          MX     20 mx2
ns1              IN         A               192.168.1.50
mx1             IN         A               192.168.1.51
mx2             IN         A               192.168.1.52
www            IN         A               192.168.1.53
web             IN         CNAME      www
bbs              IN         A               192.168.1.54
bbs              IN         A               192.168.1.55
ns1.ops        IN         A               192.168.1.103     添加

2、重启加载配置

[~]# rndc reload

3、打开子域服务器(192.168.1.103)安装bind,并修改配置文件添加子域服务器配置信息

[root@localhost named]# yum -y install bind
[root@MiWiFi-R3-srv named]# vim /etc/named.conf

options {
    listen-on port 53 { 127.0.0.1; 192.168.1.103; };  添加子域ip地址


    //allow-query     { localhost; };


    dnssec-enable no;
    dnssec-validation no;

4、启动服务并查看运行状态

[root@MiWiFi-R3-srv named]# systemctl start named.service
[root@MiWiFi-R3-srv named]# systemctl status named.service
[root@MiWiFi-R3-srv named]# ss -tunl
Netid State      Recv-Q Send-Q                                 Local Address:Port                                   Peer Address:Port 
tcp   UNCONN     0      0                                      192.168.1.103:53     查看端口                                  *:*     
tcp   UNCONN     0      0                                          127.0.0.1:53     查看端口                                  *:* `

5、定义子域信息

[root@MiWiFi-R3-srv named]# vim /etc/named.rfc1912.zones 


zone "ops.magedu.com" IN {       添加
        type master;
        file "ops.magedu.com.zone";
};

6、修改配置文件

[root@MiWiFi-R3-srv named]# cat /var/named/
[root@MiWiFi-R3-srv named]# vim ops.magedu.com.zone
$TTL    3600
$ORIGIN ops.magedu.com.
@       IN      SOA     ns1.ops.magedu.com.     nsadmin.ops.magedu.com. (
              2018052101
              1H
              10M
              1D
              1H )
       IN      NS      ns1
ns1     IN      A       192.168.1.103
www     IN       A       192.168.1.103

7、修改配置文件权限并检测语法错误

[root@MiWiFi-R3-srv named]# chgrp named ops.magedu.com
[root@MiWiFi-R3-srv named]# chmod o= ops.magedu.com
[root@MiWiFi-R3-srv named]# named-checkconf

8、子域测试

[root@MiWiFi-R3-srv named]# dig -t A www.ops.magedu.com @192.168.1.110

9、父域测试

[root@MiWiFi-R3-srv named]# dig -t A www.ops.magedu.com @192.168.1.103

子域-区域转发

1、编辑子域配置信息

zone "magedu.com" IN {
        type forward;
        forward only;
        forwarders { 192.168.1.110; 192.168.1.147; };
};

2、检测语法错误并重载配置,测试

[root@MiWiFi-R3-srv named]# named-checkconf
[root@MiWiFi-R3-srv named]# rndc reload
[root@MiWiFi-R3-srv named]# dig -t A www.magedu.com @192.168.1.103

子域-全局转发

1、定义配置文件

[root@MiWiFi-R3-srv named]# vim /etc/named.conf
options {
    listen-on port 53 { 127.0.0.1; 192.168.1.103; };
    listen-on-v6 port 53 { ::1; };
    directory     "/var/named";
    dump-file     "/var/named/data/cache_dump.db";
    statistics-file "/var/named/data/named_stats.txt";
    memstatistics-file "/var/named/data/named_mem_stats.txt";
    forward only;                              添加
    forwarders { 192.168.1.110; };             添加
    //allow-query     { localhost; };

2、检测语法错误并重载配置,测试

[root@MiWiFi-R3-srv named]# named-checkconf

[root@MiWiFi-R3-srv named]# rndc reload
[root@MiWiFi-R3-srv named]# dig -t A www.baidu.com @192.168.1.103

acl 权限控制

acl 能够访问控制列表,把一个或多个地址合并唯一个命名集合,随后通过此名称即可对集合内的所有主机实现统一调用

1、/etc/named.conf 全局生效

2、/etc/named.rfc1912.zones 仅对域生效

使用格式:

acl acl_name {
        ip;
        net/prelen;
};

访问控制指令:

allow-query {}:允许查询的主机;白名单;

allow-transger {}:允许向哪些主机做区域传送,默认为所有主机;

allow-recursion {}:允许哪些主机向当前的DNS服务器发起递归查询请求;

allow-update {}:适用于DNS,允许动态更新区域数据库文件中的内容;

分别在主、辅、子域服务器定义后产看结果

 allow-transger {};命令

1、首先使用执行命令查 

[root@MiWiFi-R3-srv ~]# dig -t axfr magedu.com @192.168.1.110
执行结果都是可执行

2、打开主服务器编辑配置文件;

[root@localhost ~]# vim /etc/named.conf

acl slaves {
        192.168.1.103;
};                             添加访问白名单;

options {
        listen-on port 53 { 127.0.0.1; 192.168.1.110; };


zone "magedu.com" IN {
        type master;
        file "magedu.com.zone";
        allow-transfer { slaves; };     添加访问权限
};

3、再次执行刚刚的命令查看结果

[root@MiWiFi-R3-srv ~]# dig -t axfr magedu.com @192.168.1.110
主服务器 无效
从服务器 无效
子域服务器 有效

 allow-recursion {};命令

1、修改配置主配置文件

[root@localhost ~]# vim /etc/named.conf


acl mynet {
        192.168.1.147;   添加主机
};

options {
        listen-on port 53 { 127.0.0.1; 192.168.1.110; };


        recursion yes;  删掉更换成  allow-recursion { mynet; };

2、在三台主机上执行查看结果

[root@localhost ~]# dig -t A www.baidu.com @192.168.1.110 无效
[root@MiWiFi-R3-srv ~]# dig -t A www.baidu.com @192.168.1.147 有效
[root@MiWiFi-R3-srv ~]# dig -t A www.baidu.com @192.168.1.103 无效

allow-update {};命令

编辑辅服务器

[root@MiWiFi-R3-srv ~]# vim /etc/named.rfc1912.zones


zone "magedu.com" IN {
        type slave;
        file "slaves/magedu.com.zone";
        masters { 192.168.1.110; };
        allow-update { none; };       添加限制权限;
}; 

查看测试结果

[root@MiWiFi-R3-srv ~]# dig -t axfr magedu.com @192.168.1.103  被添加了访问权限 无效
[root@MiWiFi-R3-srv ~]# dig -t axfr ops.magedu.com @192.168.1.103  没有添加访问权限 有效

四、搭建并实现智能DNS

bind view(视图) 实现智能DNS服务器

所谓智能DNS服务器,就是将不同的访问请求进行分类将其给以不同的反馈。

环境配置:

主机:192.168.1.110;

测试:192.168.1.147;

测试:192.168.1.103;

关闭防火墙并安装bind;

 

1、修改配置文件添加不同的分株并设置192.168.1.110为换成服务器

[root@localhost named]# vim /etc/named.conf

acl a {                     添加组 a
        192.168.1.147;
};
 
acl b {                     添加组 b
        192.168.1.103;
};

options {
        listen-on port 53 { 127.0.0.1; 192.168.1.110; };设置缓存服务器


        recursion yes;  允许递归

        dnssec-enable no;   关闭
        dnssec-validation no;  关闭

        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";

        managed-keys-directory "/var/named/dynamic";
        pid-file "/run/named/named.pid";
        session-keyfile "/run/named/session.key";
};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};

//zone "." IN {                     屏蔽掉
//      type hint;                  屏蔽掉
//      file "named.ca";            屏蔽掉
//};                                屏蔽掉
        
//include "/etc/named.rfc1912.zones";     屏蔽掉
//include "/etc/named.root.key";          屏蔽掉

view a {
        match-clients { a; };
        zone "magedu.com" IN {
                type master;
                file "magedu.com.zone.a";
        };
        zone "." IN {
                type hint;
                file "named.ca";
        };
        include "/etc/named.rfc1912.zones";
        include "/etc/named.root.key";
};

view b {
        match-clients { b;};
        zone "magedu.com" IN {
                type master;
                file "magedu.com.zone.b";
        };
        zone "." IN {
                type hint;
                file "named.ca";
        };
        include "/etc/named.rfc1912.zones";
        include "/etc/named.root.key";
};

2、编辑分组的配置至文件 a

[root@localhost named]# vim /var/named/magedu.com.zone.a
$TTL    3600
$ORIGIN magedu.com.
@       IN      SOA     ns.magedu.com.  ns.admin.com. (
                2018052501
                1H
                2H
                3H
                4H )
        IN      NS      ns
ns      IN      A       192.168.1.11
www     IN      A       192.168.1.112
ftp     IN      A       192.168.1.113
web     IN      CNAME   www

 

3、编辑分株的配置文件 b

[root@localhost named]# vim /var/named/magedu.com.zone.b 
$TTL    3600
$ORIGIN magedu.com.
@       IN      SOA     ns.magedu.com.  ns.admin.com. (
                2018052501
                1H
                2H
                3H
                4H )
             IN        NS      ns
ns          IN        A       192.168.1.22
www     IN        A       192.168.1.222
ftp         IN       A       192.168.1.223
web       IN      CNAME   www

4、检测文件的语法错误
[root@localhost named]# named-checkzone magedu.com magedu.com.zone.a 
zone magedu.com/IN: loaded serial 2018052501
OK

[root@localhost named]# named-checkzone magedu.com magedu.com.zone.b 
zone magedu.com/IN: loaded serial 2018052501
OK

5、在192.168.1.147测试

[root@localhost ~]# nslookup
> server 192.168.1.110
Default server: 192.168.1.110
Address: 192.168.1.110#53
> set q=A
> www.magedu.com
Server:        192.168.1.110
Address:    192.168.1.110#53

Name:    www.magedu.com
Address: 192.168.1.112
> web.magedu.com
Server:        192.168.1.110
Address:    192.168.1.110#53

web.magedu.com    canonical name = www.magedu.com.
Name:    www.magedu.com
Address: 192.168.1.112

6、在192.168.1.103测试

[root@localhost ~]# nslookup
> server 192.168.1.110
Default server: 192.168.1.110
Address: 192.168.1.110#53
> set q=A
> www.magedu.com
Server:        192.168.1.110
Address:    192.168.1.110#53

Name:    www.magedu.com
Address: 192.168.1.222
> web.magedu.com
Server:        192.168.1.110
Address:    192.168.1.110#53

web.magedu.com    canonical name = www.magedu.com.
Name:    www.magedu.com
Address: 192.168.1.222

 

参考: 马哥笔记; [网络笔记1](https://www.jianshu.com/p/e8b5866802d1)

原创文章,作者:N28_刚好遇到小熊猫,如若转载,请注明出处:http://www.178linux.com/124586

发表评论

登录后才能评论

This site uses Akismet to reduce spam. Learn how your comment data is processed.

联系我们

400-080-6560

在线咨询

工作时间:周一至周五,9:30-18:30,节假日同时也值班

QR code