CentOS上配置主DNS伺服器的簡易指南
在開始之前,我想要提一下的是,DNS可以在chroot環境中配置,也可以在非chroot環境中配置。chroot環境將DNS伺服器限制在系統中某個特定目錄中,以避免讓伺服器具有系統級的訪問許可權。在此環境中,任何DNS伺服器的安全漏洞不會導致整個系統的破壞。將DNS伺服器置於chroot環境中,對於部署測試也很有用。
目標
我們將在基於域名example.tst的測試環境中配置一台DNS伺服器,這個域名是虛假的(並不真實存在的)。這樣,我們就不會意外干擾到其它真實的域名。
在該域中,有以下三台伺服器。
伺服器 | IP地址 | 託管的服務 | 完全限定域名(FQDN) |
Server A | 172.16.1.1 | mail.example.tst | |
Server B | 172.16.1.2 | Web, FTP | www.example.tstftp.example.tst |
Server C | 172.16.1.3 | Primary DNS server | ns1.example.tst |
我們將會配置一台主域名伺服器,並添加上表中必要的域和DNS記錄。
設置主機名
所有的主機名必須以完全限定域名的方式正確定義,可以通過以下方法完成設置。
# vim /etc/sysconfig/network
HOSTNAME=ns1.example.tst
註:該文件中指定的主機名參數在伺服器啟動後才會啟用(譯註:或者網路服務重啟後),因此,該設置不會馬上生效。下面的命令可以立刻臨時性地修改主機名。
# hostname ns1.example.tst
一旦設置,主機名可以通過以下命令驗證。
# hostname
ns1.example.tst
在進入下一步之前,請確保上述三台伺服器上的主機名已經設置正確。
安裝軟體包
我們將使用bind來配置DNS服務,該軟體可以很方便地通過yum來安裝。
不使用chroot環境的:
# yum install bind bind-chroot
使用chroot環境的:
# yum install bind bind-chroot
準備配置文件
正如前面提到的,bind可以在chroot環境下配置,或者在非chroot環境下配置,配置文件的路徑會因為是否安裝chroot包而不同。
配置文件路徑 | 區域文件路徑 | |
不帶有 chroot | /etc/ | /var/named/ |
帶有 chroot | /var/named/chroot/etc/ | /var/named/chroot/var/named/ |
可以使用默認提供的named.conf配置文件,但是為了更方便使用,我們將使用另外一個簡單的配置文件模板。
非chroot環境:
# cp /usr/share/doc/bind-9.8.2/sample/etc/named.rfc1912.zones /etc/named.conf
chroot環境:
# cp /usr/share/doc/bind-9.8.2/sample/etc/named.rfc1912.zones /var/named/chroot/etc/named.conf
現在來備份並修改配置文件。
非chroot環境:
# vim /etc/named.conf
chroot環境:
# vim /var/named/chroot/etc/named.conf
添加/修改以下行:
options {
## 區域文件存放目錄 ##
directory "/var/named";
## 對於非本地權威域的請求轉發到 Google 的公開 DNS 伺服器 ##
forwarders { 8.8.8.8; };
};
## 申明一個本地域 example.tst ##
zone "example.tst" IN {
type master;
file "example-fz"; ## 存儲文件名,放在 /var/named ##
allow-update { none; };
};
## 為IP段 172.16.1.0 提供反向解析 ##
zone "1.16.172.in-addr.arpa" IN {
type master;
file "rz-172-16-1"; ## 存儲文件名,放在 /var/named ##
allow-update { none; };
};
準備區域文件
那些默認的區域文件會自動創建到/var/named 或者/var/named/chroot/var/named (chroot環境)。如果在這些地方找不到這些文件,/usr/share/doc/bind目錄中提供了模板文件,可以從這裡拷貝。
假設默認區域文件沒有提供,我們可以從/usr拷貝模板文件。
非chroot環境:
# cp /usr/share/doc/bind-9.8.2/sample/var/named/named.* /var/named/
chroot環境:
# cp /usr/share/doc/bind-9.8.2/sample/var/named/named.* /var/named/chroot/var/named
很好!由於現在默認的區域文件已經準備好,我們可以為example.tst和172.16.1.0網路創建區域文件了,以下要點必須時刻謹記。
- 區域文件中的特殊字元『@』意味著空。(譯註:意即代表本域。)
- 所有的完全限定域名必須以點『.』結束。如:example.tst.如果沒有這個點,你會發生問題。(譯註:即會被當做當前@所代表的域的子域。)
1. 轉發區域(本地權威域)
轉發區域包含了名稱到IP地址的映射。對於公開的域,域名託管提供商的DNS伺服器存儲了轉發區域文件。(譯註:轉發區域即本地的權威域,由這個伺服器自身提供權威的解析數據)
非chroot環境:
# vim /var/named/example-fz
chroot環境:
# vim /var/named/chroot/var/named/example-fz
$TTL 1D
@ IN SOA ns1.example.tst. sarmed.example.tst. (
0 ; serial
1D ; refresh
1H ; retry
1W ; expire
3H ) ; minimum
IN NS ns1.example.tst.
IN A 172.16.1.3
mail IN A 172.16.1.1
IN MX 10 mail.example.tst.
www IN A 172.16.1.2
ns1 IN A 172.16.1.3
ftp IN CNAME www.example.tst.
說明:在區域文件中,SOA是開始授權(Start Of Authority)的意思。它的值的第一段是授權名稱伺服器的完全限定域名。完全限定域名後面跟著的是電子郵件地址。由於不能在sarmed@example.tst這樣的格式中使用『@』符號(譯註:@有特定意義,代表本域。),我們將電子郵件地址重寫成sarmed.example.tst.這樣的格式。
以下是典型的常用DNS記錄類型:
- NS:域名伺服器
- A: 地址記錄,記錄主機名到IP地址的映射(譯註,此處原文有誤。)
- MX: 郵件交換記錄。這裡我們只用了一個郵件交換記錄,設置其優先順序為10。如果有多個郵件交換記錄,我們可以使用多個數值優先順序,數字小的優先順序最高。例如,MX 0比MX 1優先順序更高。
- CNAME: 標準名。如果在一台單一伺服器上託管了多個服務,也很可能將多個名稱解析到某個單一伺服器。CNAME指定了一台伺服器可能有的其它名稱,並且將它們指向具有實際A記錄的名稱。
2. 反向區域
反向區域包含了IP地址到名稱的映射。這裡,我們為172.16.1.0網路創建反向區域。在正式的域中,公共IP區塊的擁有者擁有的DNS伺服器存儲反向區域文件。(某些服務,如郵件服務,要求IP地址具備正確的反向解析才能正常工作。而IP的反向解析,通常是由IP的擁有者如接入商或IDC來負責解析。)
非chroot環境:
# vim /var/named/rz-172-16-1
chroot環境:
# vim /var/named/chroot/var/named/rz-172-16-1
$TTL 1D
@ IN SOA ns1.example.tst. sarmed.example.tst. (
0 ; serial
1D ; refresh
1H ; retry
1W ; expire
3H ) ; minimum
IN NS ns1.example.tst.
1 IN PTR mail.example.tst.
2 IN PTR www.example.tst.
3 IN PTR ns1.example.tst.
說明:除了下面的參數外,反向區域文件中的大多數參數和轉發區域文件中的相同。
- PTR: IP反向解析記錄,指向一個反向限定域名。
結束工作
既然區域文件已經準備好,我們接下來調整它們的許可權。
非chroot環境:
# chgrp named /var/named/*
chroot環境:
# chgrp named /var/named/chroot/var/named/*
現在,我們為DNS伺服器設置IP地址。
# vim /etc/resolv.conf
nameserver 172.16.1.3
最後,我們可以啟動DNS服務,並確保將它添加到啟動服務中。
# service named restart
# chkconfig named on
DNS伺服器起動後,建議關注一下日誌文件/var/log/messages,這裡頭包含了後台運行的一些有用信息。如果沒有發現錯誤,我們可以開始測試DNS伺服器。
測試DNS
我們可以使用dig或者nslookup來測試DNS。首先,我們需要安裝必要的軟體包。
# yum install bind-utils
1. 使用dig測試轉發區域
使用dig來測試時,必須時刻關注狀態信息:「NOERROR」,任何其它值都表明存在問題。
# dig example.tst
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31184
;; QUESTION SECTION:
;example.com. IN A
;; ANSWER SECTION:
example.com. 86400 IN A 172.16.1.3
;; AUTHORITY SECTION:
example.com. 86400 IN NS ns1.example.com.
;; ADDITIONAL SECTION:
ns1.example.com. 86400 IN A 172.16.1.3
2. 使用dig測試PTR記錄
使用dig來測試時,必須時刻關注狀態信息:「NOERROR」,任何其它值都表明存在問題。(譯註,也可用 dig 1.1.16.172.in-addr.arpa. ptr 來測試。)
# dig -x 172.16.1.1
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 27415
;; QUESTION SECTION:
;1.1.17.172.in-addr.arpa. IN PTR
;; ANSWER SECTION:
1.1.16.172.in-addr.arpa. 86400 IN PTR mail.example.tst.
;; AUTHORITY SECTION:
1.16.172.in-addr.arpa. 86400 IN NS ns1.example.tst.
;; ADDITIONAL SECTION:
ns1.example.tst. 86400 IN A 172.16.1.3
3. 使用dig測試MX記錄
# dig example.tst mx
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 35405
;; QUESTION SECTION:
;example.tst. IN MX
;; ANSWER SECTION:
example.tst. 14366 IN MX 10 mail.example.tst.
排錯提示
- 我已經把SELinux關閉。
- 保證防火牆沒有阻擋UDP 53埠
- 萬一出錯,可在/var/log/messages中查看到有用的信息
- 確保區域文件的屬主為『named』
- 確保DNS伺服器的IP地址是/etc/resolv.conf中的第一條目
- 如果你使用example.tst作為實驗環境,確保將伺服器從互聯網斷開,因為example.tst是一個不存在的域。
最後小結,該教程關注的是實驗環境中配置example.tst域用作為演示。請注意,該教程中創建了一台公共DNS伺服器,此伺服器會回應來自任何源IP地址的查詢。如果你是在配置DNS生產伺服器,請確保檢查與公共DNS相關的策略。其它教程涵蓋了創建從DNS伺服器, 限制對DNS伺服器的訪問以及部署DNSSEC。
希望此教程對您有所幫助。
via: http://xmodulo.com/2014/04/primary-dns-server-using-centos.html
本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive