RHEL5.4下利用bind配置DNS服务器[服务器安全]

RHEL5.4下利用bind配置DNS服务器具体步骤:

1、安装bind服务器软件及相关组件
查看系统中能否安装bind域名服务相关的几个软件包:
rpm -qa | grep bind
##############################################################################
bind-utils-9.3.6-4.P1.el5 供应DNS服务器的测试工具程序(nslookup、dig等)


bind-chroot-9.3.6-4.P1.el5 实现bind根目录的监牢机制,加强安全性
bind-libs-9.3.6-4.P1.el5 bind软件程序所需求的lib库文件
bind-9.3.6-4.P1.el5 供应了域名服务的主要程序和相关文件
##############################################################################
caching-nameserver-9.3.6-4.P1.el5.i386.rpm 配置bind作为缓存域名服务器供应的必要的默许配置文件
(这个包默许情形下大都系统没有安装,需求手动安装)
mount /dev/cdrom /media/
rpm -ivh /media/Server/caching-nameserver-9.3.6-4.P1.el5.i386.rpm


2、查看安装的目录和文件
rpm -ql bind
rpm -ql bind-chroot
rpm -ql bind-utils
rpm -ql caching-nameserver

/usr/sbin/named 域名服务器的保护进程
/var/run/named/named.pid DNS的PID文件
/etc/sysconfig/named
/etc/rc.d/init.d/named
/etc/logrotate.d/named 这3个脚本用于管理域名服务器保护进程
/usr/bin/dig
/usr/bin/host
/usr/bin/nslookup 这3个程序用于对DNS服务器举行测试
/var/named/chroot 安装了bind-chroot软件包后,bind根目录真实位置
/var/named/chroot/etc DNS服务器的配置文件存放目录
/var/named/chroot/var DNS服务器的区域数据文件存放目录
/usr/sbin/named-bootconf 域名服务器的启动配置脚本
/usr/sbin/named-checkconf 域名服务器的主配置文件语法查验程序
/usr/sbin/named-checkzone 域名服务器的区域配置文件查验程序
/usr/sbin/dns-keygen DNS加密密钥生成程序
/usr/sbin/dnssec-keygen DNSSEC
/usr/sbin/dnssec-signzone 加密密钥生成程序
/usr/sbin/rndc 域名服务器的掌握程序,可以利用rndc.conf文件加载相关配置
/usr/sbin/lwresd 轻量级的解析服务器,可以作为缓冲域名服务器
/usr/share/doc/bind-9.3.6/sample/etc/named.conf 手工成立named.conf配置文件的模板文件

3、默许情形下主配置文件named.conf不存在,通过模板文件生成主配置文件
cp -p /usr/share/doc/bind-9.3.6/sample/etc/named.conf /var/named/chroot/etc/named.conf
不过由于这里的模板文件配置参数较多,我们大部份基本不用,所以倡议直接编辑这个文件以下:(供参考)
options
{
listen-on port 53 { 192.168.1.102; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { 192.168.1.0/24; };
recursion yes;

};

################################分割线 构建缓存域名服务器###########################
(缓存域名服务器的考证需求衔接Internet环境)
(1) 构建缓存域名服务器,改正named.conf
办法一:定义根
vi /var/named/chroot/etc/named.conf
options
{
listen-on port 53 { 192.168.1.102; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { 192.168.1.0/24; };
recursion yes;
};
zone "." IN {
type hint;
file "named.ca";
};

办法二:定义转发器
vi /var/named/chroot/etc/named.conf
options
{
listen-on port 53 { 192.168.1.102; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { 192.168.1.0/24; };
recursion yes;
forwarders { 218.30.19.50; 61.134.1.5; };
};
在实际利用中,倡议采取办法二,为了提高解析效率,可以不向根域查询,而是将客户端的解析恳求转发给特定的DNS服务器,收到返回的查询后果后再传送给客户端.

################################分割线 构建主域名服务器###########################
(1) 肯定DNS服务器与需求解析的主机名和IP地址
DNS服务器:server01.linuxidc.com-->192.168.1.102
www服务器:www.linuxidc.com-->192.168.1.102
邮件服务器:mail.linuxidc.com-->192.168.1.105
主域服务器:ns1.linuxidc.com-->192.168.1.102
从域服务器:ns2.linuxidc.com-->192.168.1.103
(2) 成立正向区域和反向区域
vi /var/named/chroot/etc/named.conf
options
{
listen-on port 53 { 192.168.1.102; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { 192.168.1.0/24; };
recursion yes;
};
zone "linuxidc.com" IN {
type master;
file "net.zx";
};
zone "1.168.192.in-addr.arpa" IN {