Linux用戶基礎

1、第三章第三章 構(gòu)建域名服務器構(gòu)建域名服務器 理論部分理論部分Samba的安全級別有哪幾種，作用分別是什么？的安全級別有哪幾種，作用分別是什么？在在Linux中如何訪問其他主機的共享資源？中如何訪問其他主機的共享資源？配置配置vsftpd服務器時，如何禁用本地系統(tǒng)用戶？服務器時，如何禁用本地系統(tǒng)用戶？如何限制用戶訪問如何限制用戶訪問FTP服務器的下載速率？服務器的下載速率？熟悉域名服務器的各種角色熟悉域名服務器的各種角色會構(gòu)建純緩存域名服務器會構(gòu)建純緩存域名服務器會構(gòu)建主域名服務器會構(gòu)建主域名服務器會構(gòu)建從域名服務器會構(gòu)建從域名服務器會構(gòu)建分離解析的域名服務器會構(gòu)建分離解析的域名服務器DNS系統(tǒng)

2、概述系統(tǒng)概述構(gòu)建域名服務器構(gòu)建域名服務器使用使用BIND構(gòu)建構(gòu)建域名服務器域名服務器構(gòu)建緩存域名服務器構(gòu)建緩存域名服務器 構(gòu)建從域名服務器構(gòu)建從域名服務器構(gòu)建主域名服務器構(gòu)建主域名服務器構(gòu)建分離解析的域名服務器構(gòu)建分離解析的域名服務器DNS系統(tǒng)的作用系統(tǒng)的作用 DNS系統(tǒng)的類型系統(tǒng)的類型DNS系統(tǒng)的結(jié)構(gòu)系統(tǒng)的結(jié)構(gòu) BIND的安裝與服務控制的安裝與服務控制BIND的配置文件的配置文件 BIND域名服務域名服務基礎基礎DNS系統(tǒng)的作用系統(tǒng)的作用正向解析：根據(jù)主機名稱（域名）查找對應的正向解析：根據(jù)主機名稱（域名）查找對應的IP地址地址反向解析：根據(jù)反向解析：根據(jù)IP地址查找對應的主機域名地址查找對

3、應的主機域名DNS系統(tǒng)的分布式數(shù)據(jù)結(jié)構(gòu)系統(tǒng)的分布式數(shù)據(jù)結(jié)構(gòu)根 . .com .net .org .edu .cn .uk DNS查詢方式：查詢方式： 遞歸查詢遞歸查詢p 大多數(shù)客戶機向DNS服務器解析域名的方式 迭代查詢迭代查詢p 大多數(shù)DNS服務器向其他DNS服務器解析域名的方式緩存域名服務器緩存域名服務器也稱為也稱為 唯高速緩存服務器唯高速緩存服務器通過向其他域名服務器查詢獲得域名通過向其他域名服務器查詢獲得域名-IP地址記錄地址記錄將域名查詢結(jié)果緩存到本地，提高重復查詢時的速度將域名查詢結(jié)果緩存到本地，提高重復查詢時的速度主域名服務器主域名服務器特定特定DNS區(qū)域的官方服務器，具有唯一性

4、區(qū)域的官方服務器，具有唯一性負責維護該區(qū)域內(nèi)所有域名負責維護該區(qū)域內(nèi)所有域名-IP地址的映射記錄地址的映射記錄從域名服務器從域名服務器也稱為也稱為 輔助域名服務器輔助域名服務器其維護的其維護的 域名域名-IP地址記錄地址記錄 來源于主域名服務器來源于主域名服務器BIND（Berkeley Internet Name Daemon）伯克利伯克利Internet域名服務域名服務 官方站點：官方站點：/相關(guān)軟件包相關(guān)軟件包bind-9.3.3-7.el5.i386.rpm（第二張）（第二張）bind-utils-9.3.3-7.el5.i386.rpm（第一張）（

5、第一張）bind-chroot-9.3.3-7.el5.i386.rpm（第二張）（第二張）caching-nameserver-9.3.3-7.el5.i386.rpm（第四章）（第四章）BIND服務器端程序服務器端程序主要執(zhí)行程序：主要執(zhí)行程序：/usr/sbin/named服務腳本：服務腳本：/etc/init.d/named默認監(jiān)聽端口：默認監(jiān)聽端口：53主配置文件：主配置文件：p /var/named/chroot/etc/named.conf保存保存DNS解析記錄的數(shù)據(jù)文件位于：解析記錄的數(shù)據(jù)文件位于：p /var/named/chroot/var/named/全局配置部分全局配置

6、部分設置設置DNS服務器的全局參數(shù)服務器的全局參數(shù)包括監(jiān)聽地址包括監(jiān)聽地址/端口、數(shù)據(jù)文件的默認位置等端口、數(shù)據(jù)文件的默認位置等使用使用 options ; 的配置段的配置段options listen-on port 53 ; ; directory /var/named; allow-query /24; /24; ; recursion yes;各各DNS區(qū)域的數(shù)據(jù)區(qū)域的數(shù)據(jù)文件默認存放位置文件默認存放位置允許允許DNS查詢的客查詢的客戶機地址戶機地址是否允許為客戶機是否允許為客戶機進行遞歸查詢進行遞歸查詢區(qū)域配置部分區(qū)域

7、配置部分設置本服務器提供域名解析的特定設置本服務器提供域名解析的特定DNS區(qū)域區(qū)域包括域名、服務器角色、數(shù)據(jù)文件名等包括域名、服務器角色、數(shù)據(jù)文件名等使用使用 zone “區(qū)域名區(qū)域名” IN ; 的配置段的配置段zone . IN type hint; file named.ca; ;hint表示根區(qū)域、表示根區(qū)域、master表示表示主區(qū)域、主區(qū)域、slave表示輔助區(qū)域表示輔助區(qū)域file 用于設置用于設置 該區(qū)域該區(qū)域?qū)臄?shù)據(jù)文件名對應的數(shù)據(jù)文件名區(qū)域配置部分區(qū)域配置部分倒序網(wǎng)絡地址倒序網(wǎng)絡地址. 的形式表示反向區(qū)域的形式表示反向區(qū)域zone IN type

8、master; file .zone; allow-transfer ; ; allow-update none; ; ;zone 16.16.173. IN type master; file 173.16.16.arpa;設置允許下載該區(qū)域解析記設置允許下載該區(qū)域解析記錄的從域名服務的地址錄的從域名服務的地址允許動態(tài)更新哪些客戶機地允許動態(tài)更新哪些客戶機地址，址，none 表示全部禁止表示全部禁止表示針對表示針對/24網(wǎng)段的反向解析區(qū)域網(wǎng)段的反向解析區(qū)域全局全局TTL配置項及配置項及SOA記錄記錄$TTL（Time To

9、Live，生存時間）記錄，生存時間）記錄SOA（Start Of Authority，授權(quán)信息開始）記錄，授權(quán)信息開始）記錄分號分號“;”開始的部分表示注釋信息開始的部分表示注釋信息$TTL 86400 ; 有效地址解析記錄的默認緩存時間有效地址解析記錄的默認緩存時間 IN SOA . . ( 2009021901 ;更新序列號更新序列號 3H ;刷新時間刷新時間 15M ;重試延時重試延時 1W ;失效時間失效時間 1D ;無效地址解析記錄的默認緩存時間無效地址解析記錄的默認緩存時間)該該DNS區(qū)域的地址區(qū)域的地址該該DNS區(qū)域管理員的郵箱地址區(qū)域管理員的郵箱地址域名解析記錄域名解析記錄NS

10、域名服務器（域名服務器（Name Server）記錄）記錄MX郵件交換（郵件交換（Mail Exchange）記錄）記錄A地址（地址（Address）記錄，只用在正向解析的區(qū)域數(shù)據(jù)）記錄，只用在正向解析的區(qū)域數(shù)據(jù)文件中文件中CNAME別名（別名（Canonical Name）記錄）記錄 IN NS .IN MX 10 .ns1IN A mail IN A www IN A ftp IN CNAME www域名解析記錄域名解析記錄PTR指針（指針（Point）記錄，只用在反向解析的區(qū)域數(shù)據(jù)）記錄，只用在反向解析的區(qū)域數(shù)據(jù)文件中文件

11、中配置反向解析記錄時，只需要指定配置反向解析記錄時，只需要指定IP地址中的主機地地址中的主機地址部分即可，網(wǎng)絡地址部分不用寫址部分即可，網(wǎng)絡地址部分不用寫1INPTR. 4INPTR. 若在若在 16.16.173. 反反向區(qū)域數(shù)據(jù)文件中，則對應為向區(qū)域數(shù)據(jù)文件中，則對應為 的的IP地址地址基于域名解析的負載均衡基于域名解析的負載均衡同一域名對應到多個同一域名對應到多個IP地址地址泛域名解析泛域名解析找不到精確對應的找不到精確對應的A記錄時，使用記錄時，使用“*”進行匹配進行匹配子域授權(quán)子域授權(quán)將將DNS子區(qū)域內(nèi)主機地址的解析記錄，授權(quán)給子域的子

12、區(qū)域內(nèi)主機地址的解析記錄，授權(quán)給子域的域名服務器進行維護和解析域名服務器進行維護和解析movieINA1movieINA2movieINA3*INA73cnINAINNS.INA輪詢負載均衡輪詢負載均衡泛域名解析泛域名解析子域授權(quán)子域授權(quán)named-checkconf工具工具格式：格式：named-checkconf 主配置文件主配置文件named-checkzone工具工具格式：格式：named-checkzone rootlocalhost # cd /var

13、/named/chroot/var/named/rootlocalhost named# named-checkzone .zonezone loaded serial 2009OKrootlocalhost # cd /var/named/chroot/etc/rootlocalhost etc# named-checkconf named.conf 請思考：請思考：bind-chroot軟件包的作用是什么？軟件包的作用是什么？named.conf主配置文件中的配置包括哪些部分？主配置文件中的配置包括哪些部分？在在zone區(qū)域設置中，區(qū)域設置中，type對應的主要類型包括哪些？對應的主要類型

14、包括哪些？在區(qū)域數(shù)據(jù)文件中，在區(qū)域數(shù)據(jù)文件中，“”符號的含義是什么？符號的含義是什么？案例環(huán)境：案例環(huán)境：緩存域名服務器的緩存域名服務器的IP地址為地址為局域網(wǎng)內(nèi)的局域網(wǎng)內(nèi)的PC機將首選機將首選DNS服務器設為服務器設為緩存域名服務器能夠訪問緩存域名服務器能夠訪問Internet中的其他中的其他DNS服務器服務器負責處理局域網(wǎng)內(nèi)負責處理局域網(wǎng)內(nèi)PC機的機的DNS解析請求，并緩存查詢解析請求，并緩存查詢結(jié)果結(jié)果Internet局域網(wǎng)PC機/24eth0: /24eth1: /24網(wǎng)關(guān)服務

15、器緩存域名服務器/24基本配置步驟：基本配置步驟：1.建立建立named.conf主配置文件主配置文件p 通過根域或者轉(zhuǎn)發(fā)機制指定解析源2.確認建立確認建立named.ca根區(qū)域數(shù)據(jù)文件根區(qū)域數(shù)據(jù)文件p 若使用轉(zhuǎn)發(fā)機制則無需此步驟3.啟動啟動named服務服務4.驗證緩存域名服務器驗證緩存域名服務器p nslookup命令1.建立建立named.conf主配置文件主配置文件options dump-file /var/named/data/cache_dump.db; statistics-file /var/named/data/named_stats.txt; mem

16、statistics-file /var/named/data/named_mem_stats.txt; recursion yes; ;zone . IN type hint; file named.ca;options dump-file /var/named/data/cache_dump.db; statistics-file /var/named/data/named_stats.txt; memstatistics-file /var/named/data/named_mem_stats.txt; recursion yes; forwarders 0; 20

17、; ;2.確認建立確認建立named.ca根區(qū)域數(shù)據(jù)文件根區(qū)域數(shù)據(jù)文件rootlocalhost # cd /var/named/chroot/var/named/rootlocalhost named# grep -v ; named.ca. 3600000 IN NS A.ROOT-SERVERS.NET.A.ROOT-SERVERS.NET. 3600000 A . 3600000 NS B.ROOT-SERVERS.NET.B.ROOT-SERVERS.NET. 3600000 A 01. 3600000 NS C.RO

18、OT-SERVERS.NET.C.ROOT-SERVERS.NET. 3600000 A 2. 3600000 NS D.ROOT-SERVERS.NET.D.ROOT-SERVERS.NET. 3600000 A 0. 3600000 NS E.ROOT-SERVERS.NET.3.啟動啟動named服務服務p service named start4.驗證緩存域名服務器驗證緩存域名服務器p 在客戶機中將DNS服務器設為該緩存域名服務器p nslookup C:Documents and SettingsAdministrator nslookup S

19、erver: Address: Non-authoritative answer:Name: Addresses: 47, 04, 9Aliases: , 表示非官方提供表示非官方提供的解析結(jié)果的解析結(jié)果表示別名地址表示別名地址案例環(huán)境：案例環(huán)境：主域名服務器：主域名服務器：，從域名服務器：從域名服務器：，兩臺服務器均能夠提供兩臺服務器均能夠提供 區(qū)域的域名解析區(qū)域的域名解析主要解析記錄包括：主要解析記錄包括：p 網(wǎng)站服務器“”，IP地

20、址為“”。p 郵件服務器“”，IP地址為“”。p 在線培訓站點服務器“”，IP地址為“”。p 主域名服務器“”，IP地址為“”。p 從域名服務器“”，IP地址為“”。Internet主域名服務器/從域名服務器/域其他DNS服務器Internet客戶機基本配置步驟：基本配置步驟：1.在在named.conf配置文件中添加配置文件中添加“”主區(qū)主區(qū)域域2.建立建立“”區(qū)域的數(shù)據(jù)文件區(qū)域的數(shù)據(jù)文件3.啟動或者重新加載啟動或者重新加載named服務程

21、序服務程序4.驗證主域名服務器驗證主域名服務器1.在在named.conf主配置文件中添加主配置文件中添加“”區(qū)區(qū)域域rootns1 # vi /var/named/chroot/etc/named.confzone IN type master; file .zone; allow-transfer ; ;zone 16.16.173. IN type master; file 173.16.16.arpa; allow-transfer ; ;指定允許下載區(qū)域數(shù)據(jù)的指定允許下載區(qū)域數(shù)據(jù)的從域名服務器的地址從域名服務器的地址

22、2.建立建立“”區(qū)域的數(shù)據(jù)文件區(qū)域的數(shù)據(jù)文件p 正向區(qū)域文件 .zonep 反向區(qū)域文件 173.16.16.arparootns1 # vi /var/named/chroot/var/named/.zone IN NS . IN NS . IN A IN MX 10 .ns1 IN A ns2 IN A mail IN A www IN A study IN A * IN A rootns1 # vi /var/named/chroot

23、/var/named/173.16.16.arpa IN NS . IN NS .1 IN PTR .2 IN PTR .5 IN PTR .6 IN PTR 域的正域的正向解析數(shù)據(jù)文件向解析數(shù)據(jù)文件/24網(wǎng)段的網(wǎng)段的反向解析數(shù)據(jù)文件反向解析數(shù)據(jù)文件3.啟動或者重新加載啟動或者重新加載named服務程序服務程序p service named reload4.驗證主域名服務器驗證主域名服務器p 驗證正向解析：nslookup p 驗證泛域名解析：nslookup p 驗證反向解析： nslookup - 若出現(xiàn)故障，請檢查日志文件若出現(xiàn)故障，請檢查日志

24、文件 /var/log/messages基本配置步驟：基本配置步驟：1.在在named.conf配置文件中添加配置文件中添加“”輔助輔助區(qū)域區(qū)域2.啟動從服務器中的啟動從服務器中的named服務程序服務程序3.驗證從域名服務器驗證從域名服務器p 在客戶機中將DNS服務器設為從域名服務器p 使用nslookup測試域名解析是否正常rootns2 # vi /var/named/chroot/etc/named.confzone IN type slave; masters ; ; file slaves/.zone;zone 16.16.173. I

25、N type slave; masters ; ; file slaves/173.16.16.arpa;指定主域名服務指定主域名服務器的器的IP地址地址分離解析（分離解析（Split DNS）來自不同地址的客戶機請求解析同一域名時，為其提來自不同地址的客戶機請求解析同一域名時，為其提供不同的解析結(jié)果供不同的解析結(jié)果局域網(wǎng)PC機/24網(wǎng)站服務器/24郵件服務器/24Internet客戶機6/24Ieth0: /24eth1: /24網(wǎng)關(guān)/域名

26、服務器基本配置步驟：基本配置步驟：1.在在named.conf主配置文件中為不同的客戶機地址啟主配置文件中為不同的客戶機地址啟用不同的用不同的zone區(qū)域設置，各自使用獨立的數(shù)據(jù)文件區(qū)域設置，各自使用獨立的數(shù)據(jù)文件2.分別建立不同的區(qū)域數(shù)據(jù)文件分別建立不同的區(qū)域數(shù)據(jù)文件3.啟動或重新加載啟動或重新加載named服務程序服務程序4.驗證分離解析的域名服務器驗證分離解析的域名服務器1.在在named.conf主配置文件中為不同的客戶機地址啟用不同的主配置文件中為不同的客戶機地址啟用不同的zone區(qū)域設置，各自使用獨立的數(shù)據(jù)文件區(qū)域設置，各自使用獨立的數(shù)據(jù)文件view “視圖1” match-cli

27、ents 客戶機地址1; zone “” IN ;view “視圖2” match-clients 客戶機地址2; zone “” IN ;view LAN match-clients /24; ; zone IN type master; file .zone.lan; ;view WAN match-clients any; ; zone IN type master; file .zone.wan; ;針對來自局域網(wǎng)客戶針對來自局域網(wǎng)客戶機的區(qū)域數(shù)據(jù)文件機的區(qū)域數(shù)據(jù)文件針對來自其他任意地址客針對來自其他任意地址客戶機的區(qū)域數(shù)據(jù)文件戶機的區(qū)域數(shù)據(jù)文件2.分別建立不同的

28、區(qū)域數(shù)據(jù)文件分別建立不同的區(qū)域數(shù)據(jù)文件rootns1 # vi /var/named/chroot/var/named/.zone.lanns1 IN A www IN A mail IN A rootns1 # vi /var/named/chroot/var/named/.zone.wanns1 IN A www IN A mail IN A 3.啟動或重新加載啟動或重新加載named服務程序服務程序p service named reload4.驗證分離解析

29、的域名服務器驗證分離解析的域名服務器p 使用/24網(wǎng)段的客戶機解析 ，結(jié)果應為 p 使用其他IP地址的客戶機解析 ，結(jié)果應為 DNS系統(tǒng)概述系統(tǒng)概述構(gòu)建域名服務器構(gòu)建域名服務器使用使用BIND構(gòu)建構(gòu)建域名服務器域名服務器構(gòu)建緩存域名服務器構(gòu)建緩存域名服務器 構(gòu)建從域名服務器構(gòu)建從域名服務器構(gòu)建主域名服務器構(gòu)建主域名服務器構(gòu)建分離解析的域名服務器構(gòu)建分離解析的域名服務器DNS系統(tǒng)的作用系統(tǒng)的作用 DNS系統(tǒng)的類型系統(tǒng)的類型DNS系統(tǒng)的結(jié)構(gòu)系統(tǒng)的結(jié)構(gòu) BIND的安裝與服務控制的安裝與服務控制BIND的配置文件的配置文件 BIND域名服務域名服務基礎基礎第三章第三章 構(gòu)建域名服務器構(gòu)建域名服務器 上機部分上機部分需求描述需求描述公司對外（公司對外（Internet）的域名解析記錄：）的域名解析記錄：p （網(wǎng)關(guān)的公網(wǎng)接口地址）p （網(wǎng)關(guān)的公網(wǎng)接口地址）公司對內(nèi)（