Linux基礎(chǔ)與服務(wù)管理電子教案 28-DNS服務(wù)

Linux操作系統(tǒng)教案（28）教學標題項目十DNS服務(wù)配置授課班級課時2場地機房時間星期三授課教師唐乾林教學設(shè)計1.項目/任務(wù)價值DNS服務(wù)器的配置與管理2.學習目標知識目標1能利用講授的課程學習方法學習本課程；2能準確表達出DNS的概念；3熟悉DNS服務(wù)器的基本術(shù)語能力目標1能能配置DNS服務(wù)器；2掌握DNS服務(wù)器的安裝和啟?？刂扑颊?素質(zhì)目標1線上線下結(jié)合，引導學習方式，培養(yǎng)自主學習能力；2培養(yǎng)學生積極探索、勇于創(chuàng)新的科學素養(yǎng)；3養(yǎng)成小組溝通協(xié)作共同學習，解決問題能力和團隊合作精神；4能按照實訓6S管理要求做好課前的準備，課后的整理工作，培養(yǎng)勤儉、奮斗、創(chuàng)新、奉獻的勞動精神；5適當講述勵志小故事，正向引導學生的價值觀3.學習內(nèi)容1任務(wù)描述2知識準備：課程的導學；DNS服務(wù)配置的概念、DNS服務(wù)架構(gòu)3任務(wù)實施：DNS服務(wù)安裝、配置、啟動、客戶端配置4重點：DNS服務(wù)的安裝、配置5難點：DNS服務(wù)配置4.學習資源重電超星網(wǎng)課平臺，多媒體課件，理實一體化實訓室實物：教材教學實施過程教學環(huán)節(jié)學生、教師活動教學方法、手段及思政設(shè)計時間分配課程導學：通過一些應(yīng)用實例導入本課程，如：上網(wǎng)不用IP地址，而用域名明確學習目標學習要求：預(yù)習+認真+復習+用心互動問題討論列舉生活中一些實際應(yīng)用，引導學生聯(lián)系生活中計算機應(yīng)用案例，激發(fā)學生的學習興趣多媒體演示信息調(diào)研講授、討論、案例教學課前發(fā)布導學單，線上線下結(jié)合，引導學習方式轉(zhuǎn)變，培養(yǎng)自主學習能力。小組協(xié)作、溝通、互助學習，培育團隊合作意識。5復習舊課，引入學習內(nèi)容在互聯(lián)網(wǎng)上的每一個計算機都擁有一個唯一的地址，稱作“IP地址”，但是在Internet上瀏覽網(wǎng)站時，大都使用的是便于用戶記憶的稱之為主機域名，或叫主機名的友好名字而不是IP地址。例如，用戶在訪問“百度”的時候一般都是使用訪問，而很少有人會使用其IP地址09。但是，在互聯(lián)網(wǎng)中只能通過IP地址尋找和識別目標主機，這就需要首先把目標主機的域名轉(zhuǎn)換成IP地址。用于存儲主機域名和IP地址對應(yīng)關(guān)系并接受客戶端查詢的計算機被稱為DNS（DomainNameSystem）服務(wù)器。DNS客戶端向DNS服務(wù)器提出查詢，DNS服務(wù)器作出響應(yīng)的過程稱為域名解析。提問，討論，激發(fā)學習興趣多媒體演示信息調(diào)研講授、討論、案例教學課前發(fā)布導學單，線上線下結(jié)合，引導學習方式轉(zhuǎn)變，培養(yǎng)自主學習能力。5教學內(nèi)容：了解域名解析服務(wù)工作原理（1）DNS系統(tǒng)結(jié)構(gòu)與管理InterNIC負責劃分數(shù)據(jù)庫的名字信息。樹根（也稱根域）下是頂級域（或稱一級），再往下是二級、三級域。單靠幾臺DNS服務(wù)器肯定不能滿足全球用戶的需求，所以從工作形式上DNS服務(wù)器又分主服務(wù)器、從服務(wù)器（輔助服務(wù)器）、緩存服務(wù)器。（2）．DNS解析與工作流程（3）遞歸查詢和迭代查詢1）遞歸查詢。遞歸查詢：DNS客戶機只發(fā)出一次請求，就能得到結(jié)果（查詢的到或查詢不到）。DNS客戶機向LocalDNS發(fā)起查詢請求時，用的是遞歸查詢。如果LocalDNS沒有開啟遞歸功能，那么本地DNS服務(wù)器如果沒有結(jié)果，則直接返回查詢不到，而不會進行迭代查詢?nèi)カ@取結(jié)果。一般LocalDNS都會開啟遞歸功能（recursionyes;），而某個域的權(quán)威DNS一般只對內(nèi)開啟遞歸，對外關(guān)閉。所謂的LocalDNS不一定指你的內(nèi)網(wǎng)DNS，像我們平常上網(wǎng)設(shè)置的14、或者聯(lián)通電信的DNS，都可以叫LocalDNS，這類DNS也叫緩存DNS，即將迭代查詢得到的結(jié)果緩存到本地，當有其他用戶請求同一個域名解析時直接調(diào)取緩存，加速DNS查詢速度，畢竟迭代查詢還是很慢和消耗資源的。權(quán)威DNS就是管理某個域的DNS，即迭代查詢給出最終答案的那臺DNS。平常DNS客戶機去LocalDNS解析域名拿到的一般都是非權(quán)威應(yīng)答，即LocalDNS直接從緩存中查詢結(jié)果，然后將結(jié)果返回。2）迭代查詢。DNS服務(wù)器之間的查詢是迭代查詢，在該模式下通常要發(fā)出多次請求才能得到答案。迭代查詢又稱重指引，當DNS服務(wù)器使用迭代查詢時能夠使其他DNS服務(wù)器返回一個最佳的查詢點提示或主機地址，若此最佳的查詢點中包含需要查詢的主機地址，則返回主機地址信息，若不能夠直接查詢到主機地址，則是按照提示的指引依次查詢，直到服務(wù)器給出的提示中包含所需要查詢的主機地址為止。一般的，每次指引都會更靠近根服務(wù)器（向上），查尋到根域名服務(wù)器后，則會再次根據(jù)提示向下查找。（4）DNS的查詢順序DNS服務(wù)器在域名解析過程中的詳細的請求的順序為：客戶端Host文件、客戶端緩存、服務(wù)器區(qū)域文件、轉(zhuǎn)發(fā)域名服務(wù)器、根域名服務(wù)器。1）如果查詢請求是本機所負責區(qū)域中的數(shù)據(jù)的話，要通過查詢區(qū)域數(shù)據(jù)文件返回結(jié)果，這樣獲得的就是權(quán)威應(yīng)答；2）如果查詢請求不是本機所負責區(qū)域中的數(shù)據(jù)的話，就查詢緩存，有答案則返回結(jié)果，這樣獲得的是非權(quán)威應(yīng)答；3）如果緩存中沒有答案，則向根發(fā)起查詢請求（前提是開啟了遞歸），根返回負責.com的DNS的記錄NS和A記錄，如此迭代查詢直到獲得結(jié)果。2.安裝Bind服務(wù)程序BIND，即BerkeleyInternetNameDaemon，伯克利互聯(lián)網(wǎng)域名服務(wù)是一款全球互聯(lián)網(wǎng)使用最廣泛的能夠提供安全可靠、快捷高效的域名解析服務(wù)程序，13臺根DNS服務(wù)器以及互聯(lián)網(wǎng)中的DNS服務(wù)器絕大多數(shù)，超過95%是基于BIND服務(wù)程序搭建的。BIND服務(wù)程序為了能夠安全的提供解析服務(wù)而支持了TSIG（TSIGRFC2845）加密機制，TSIG主要是利用密碼編碼方式保護區(qū)域信息的傳送（ZoneTransfer），也就是說保證了DNS服務(wù)器之間傳送區(qū)域信息的安全。并且，Bind服務(wù)程序還支持chroot（changeroot）監(jiān)牢安全機制，chroot機制會限制bind服務(wù)程序僅能對自身配置文件進行操作，從而保證了整個服務(wù)器的安全。BIND包括一個用來將域名解析為IP的DNS服務(wù)器軟件，一個解析庫，以及一個DNS測試工具程序。要配置DNS服務(wù)器，先要在Linux系統(tǒng)中使用命令查看bind和bind-libs是否已經(jīng)安裝，如果沒有安裝必須事先安裝好。[root@rhel7~]#rpm-qa|grepbindbind-utils-9.9.4-14.el7.x86_64//提供了對DNS服務(wù)器的測試工具程序，如nslookup、dig等。bind-license-9.9.4-14.el7.noarchbind-libs-9.9.4-14.el7.x86_64bind-chroot-9.9.4-14.el7.x86_64//提供一個偽裝的根目錄/var/named/chroot/以增強安全性。bind-libs-lite-9.9.4-14.el7.x86_64bind-9.9.4-14.el7.x86_64//提供了域名服務(wù)的主要程序及相關(guān)文件。BIND軟件包安裝后，系統(tǒng)將創(chuàng)建名為named的用戶和用戶組，并自動設(shè)置相關(guān)目錄的權(quán)屬關(guān)系。named守護進程默認使用named用戶身份運行。[root@rhel7~]#grepnamed/etc/passwdnamed:x:25:25:Named:/var/named:/sbin/nologin[root@rhel7~]#grepnamed/etc/groupnamed:x:25:如果是利用源代碼安裝，還應(yīng)該手工創(chuàng)建named用戶和用戶組，并設(shè)置好工作目錄（/var/named）和用于存放進程號文件的目錄（/var/run/named）的所有者和權(quán)限。[root@rhel7~]#ll/var/named/-ddrwxr-x.6rootnamed40963月12017/var/named/[root@rhel7~]#ll/var/run/named/-ddrwxr-xr-x.2namednamed8012月2700:32/var/run/named/配置文件的目錄：沒有安裝bind-chroot軟件包，配置文件為/etc/named.conf，數(shù)據(jù)文件在/var/named目錄下。如果安裝并使用bind-chroot，則配置文件為/var/named/chroot/etc/named.conf，默認沒有，數(shù)據(jù)文件在/var/named/chroot/var/named目錄下。3．BIND啟?？刂苙amed作為標準的系統(tǒng)服務(wù)腳本，通過“systemctlstart/restart/stopnamed.service”的形式可以實現(xiàn)對服務(wù)器程序的控制。named默認監(jiān)聽TCP、UDP協(xié)議的53端口，以及TCP的953端口：其中UDP53端口一般對所有客戶機開放，以提供解析服務(wù)；TCP53端口一般只對特定從域名服務(wù)器開放，提高解析記錄傳輸通道；TCP953端口默認只對本機（）開放，用于為rndc遠程管理工具提供控制通道。4．開啟防火墻并允許訪問bind[root@rhel7~]#firewall-cmd--add-service=dns--permanentsuccess//通過指定服務(wù)名開放dns服務(wù)，--permanent選項表示永遠生效。[root@rhel7~]#firewall-cmd--zone=public--add-port=53/udp--permanent[root@rhel7~]#firewall-cmd--reload5．關(guān)閉SELinux對bind守護進程的保護[root@rhel7~]#setsebool-Pnamed_disable_trans1[root@rhel7~]#systemctlrestartnamed列舉實例小組討論如何設(shè)置小范圍局域網(wǎng)？多媒體演示啟發(fā)式教學正常使用電腦一絲不茍、規(guī)范操作（根據(jù)實際情況引入思政）一絲不茍、規(guī)范操作（根據(jù)實際情況引入思政）35擴展：詳解named.conf配置文件[root@rhel7~]#rpm-qf/etc/named.conf//查詢主配置文件由哪個程序生成。bind-9.9.4-14.el7.x86_64[root@rhel7~]#more/etc/named.conf////named.conf////ProvidedbyRedHatbindpackagetoconfiguretheISCBINDnamed(8)DNS//serverasacachingonlynameserver(asalocalhostDNSresolveronly).//由RedHat提供，將ISCBINDnamed(8)DNS服務(wù)器//配置為暫存域名服務(wù)器(用來做本地DNS解析).////See/usr/share/doc/bind*/sample/forexamplenamedconfigurationfiles.//該目錄中可以查看named配置案例//第一部分：全局設(shè)置。options{ listen-onport53{;}; listen-on-v6port53{::1;}; directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file"/var/named/data/named_stats.txt"; memstatistics-file"/var/named/data/named_mem_stats.txt"; allow-query{localhost;}; /* -IfyouarebuildinganAUTHORITATIVEDNSserver,doNOTenablerecursion. -IfyouarebuildingaRECURSIVE(caching)DNSserver,youneedtoenable recursion. -IfyourrecursiveDNSserverhasapublicIPaddress,youMUSTenableaccess controltolimitqueriestoyourlegitimateusers.Failingtodosowill causeyourservertobecomepartoflargescaleDNSamplification attacks.ImplementingBCP38withinyournetworkwouldgreatly reducesuchattacksurface *//*-如果你要建立一個授權(quán)域名服務(wù)器，那么不要開啟recursion（遞歸）功能。-如果你要建立一個遞歸DNS服務(wù)器，那么需要開啟recursion功能。-如果你的遞歸DNS服務(wù)器有公網(wǎng)IP地址，你必須開啟訪問控制功能，只有那些合法用戶才可以發(fā)詢問。如果不這么做的話，那么你的服服務(wù)就會受到DNS放大攻擊。實現(xiàn)BCP38將有效抵御這類攻擊。*/ recursionyes; dnssec-enableyes; dnssec-validationyes; dnssec-lookasideauto; /*PathtoISC