dns文件传输服务器,MOOC云计算 - DNS三部曲之DNS区域传输限制
DNS区域传输限制 zone transfer
DNS的主从用到的就是区域传输,
一、客户端获取域的所有配置信息
dig @30.96.8.232 imoocc.com axfr
host -T -l imoocc.com 30.96.8.232
二、为什么要做区域传输限制?
为了服务器的安全,保护信息的敏感性
建议先阅读下这篇文章,中有提到DNS数字签名的两种方式。
========================================================
方法一:基于主机的访问控制
主DNS服务器
[root@master ~]# vim /etc/named.conf
zone "imoocc.com" {
typemaster;
notifyyes;
also-notify {30.96.8.233;};
allow-transfer {none;}; //设置为不允许客户域传输
file "imoocc.com.zone";
};
[root@master ~]# service named restart
辅助DNS服务器端测试
[root@localh ~]# cd /var/named/slaves/
模拟更新主服务器的imoocc.com.zone 这个域,再切换的从服务器上
[root@localh slaves]# service named restart
停止 named:. [确定]
启动 named: [确定]
[root@localh slaves]# ls //没有传输成功
[root@slave slaves]# tail /var/log/messages
Jul 6 16:24:06 Jeson named[11601]: client 30.96.8.232#1610: received notify for zone 'imoocc.com'
Jul 6 16:24:06 Jeson named[11601]: zone imoocc.com/IN: Transfer started.
Jul 6 16:24:06 Jeson named[11601]: transfer of 'imoocc.com/IN' from 30.96.8.232#53: connected using 30.96.8.233#57604
Jul 6 16:24:06 Jeson named[11601]: transfer of 'imoocc.com/IN' from 30.96.8.232#53: resetting
Jul 6 16:24:06 Jeson named[11601]: transfer of 'imoocc.com/IN' from 30.96.8.232#53: connected using 30.96.8.233#60890
Jul 6 16:24:06 Jeson named[11601]: transfer of 'imoocc.com/IN' from 30.96.8.232#53: failed while receiving responses: REFUSED
Jul 6 16:24:06 Jeson named[11601]: transfer of 'imoocc.com/IN' from 30.96.8.232#53: Transfer completed: 0 messages, 0 records, 0 bytes, 0.040 secs (0 bytes/sec)
方法二:TSIG事务签名
1. 在主DNS服务器上生成key,并复制到辅助DNS服务器
在主服务上生成key
[root@Master named]# dnssec-keygen -a HMAC-MD5 -b 128 -n HOST jeson-key
Kjeson-key.+157+09087
-a HMAC-MD5 //指定加密算法
-b 128 key //长度,128位
-n HOST tsig-key //-n HOST 名字类型为HOST,指定密钥的所有者类型。nametype的值必须是ZONE(对于 DNSSEC 区域密钥 (KEY/DNSKEY))、HOST或ENTITY(对于与主机相关的密钥 (KEY))、USER(对于与用户相关的密钥 (KEY))或OTHER(DNSKEY)。这些值不区分大小写。缺省值是 ZONE(用于生成 DNSKEY)。
key名jeson-key
生成了 Kjeson-key.+157+09087.private 的文件
[root@master ~]# vim /var/named/chroot/etc/jeson-key //secret 可以通过查看 Kjeson-key.+157+09087.private 得到。
key "jeson-key"{
Algorithm hmac-md5;
secret yZr1h2DbAHNEWl+CkV7INQ==;
};
注:上面的TSIG Key文件检查1000遍!!!
[root@master ~]# chmod 644 /var/named/chroot/etc/jeson.key
====================================================================
参考文件:
[root@master ~]# cat /var/named/chroot/etc/rndc.key
key “rndckey” {
algorithm hmac-md5;
secret “cw3DXuvc5nIwd3ClDGxINMOTllOMY7anqYQABfv7ocK7E50ohGqg4y9rYHq2″;
};
====================================================================
复制到辅助DNS服务器
从服务器新建目录
[root@Slave ~]# mkdir /var/named/chroot/etc -p
[root@Slave ~]# chown named:named /var/named/chroot/etc -R
主服务器拷贝key文件到从服务器
[root@master ~]# rsync -va /var/named/chroot/etc/jeson.key 30.96.8.233:/var/named/chroot/etc/
2.使用KEY进行区域传输限制
主DNS:
[root@master ~]# vim /var/named/chroot/etc/named.conf
zone "imoocc.com" {
typemaster;
notifyyes;
also-notify {30.96.8.232;};
allow-transfer { keyjeson-key;};
file "imoocc.com.zone";
};
include"/etc/jeson-key";
[root@master ~]# service named restart
辅助DNS:
[root@slave ~]# vim /var/named/chroot/etc/named.conf
server 30.96.8.232 {
keys {jeson-key;};
};
include "/var/named/chroot/etc/jeson-key";
zone "imoocc.com" {
typeslave;
file"slaves/imoocc.com.zone";
masters {30.96.8.232;};
};
[root@slave ~]# service named restart
========================================================================
警告:使用TSIG区域传输时,主/辅时钟必须同步!!!
dns文件传输服务器,MOOC云计算 - DNS三部曲之DNS区域传输限制相关推荐
- 配置服务器的dns文件是什么意思,什么是服务器配置,DNS服务器如何配置
服务器配置,是指根据企业的实际需求针对安装有服务器操作系统的设备进行软件或者硬件的相应设置.操作,从而实现企业的业务活动需求. 第1步,在开始菜单中依次单击"管理工具"→DNS菜单 ...
- FJ集团企业级邮件服务器——Exchange服务器安装与配置(边缘传输服务器)
简单就是力量(power cloaked in simplicity)! Exchange边缘传输服务器角色通常部署在组织外围网络中,它能够最小化攻击面,还可以处理所有面向Internet的邮件流,为 ...
- 文件件服务器,文件件服务器
文件件服务器 内容精选 换一换 DNS服务器用于解析弹性文件服务中文件系统的域名.DNS服务器东北区IP地址为100.125.6.250,其它区域详情请参见华为云内网DNS地址.默认情况下,用于解析文 ...
- 移动端上传大文件到服务器,android上传大文件到服务器地址
android上传大文件到服务器地址 内容精选 换一换 安装传输工具在本地主机和Windows云服务器上分别安装数据传输工具,将文件上传到云服务器.例如QQ.exe.在本地主机和Windows云服务器 ...
- 文件服务器上传文件流程,上传文件到服务器流程
上传文件到服务器流程 内容精选 换一换 安装传输工具在本地主机和Windows云服务器上分别安装数据传输工具,将文件上传到云服务器.例如QQ.exe.在本地主机和Windows云服务器上分别安装数据传 ...
- AXFR和IXFR区域传输及原理
由于区域在DNS中发挥着重要的作用,因此希望在网络上的多个DNS服务器中提供区域,以提供解析名称查询时的可用性和容错.否则,如果使用单个服务器而该服务器没有响应,则该区域中的名称查询会失败.对于主要区 ...
- LinuxProbe 0x16 安装Bind服务程序、正向/反向解析、从署服务器、加密传输dns、缓存服务器、分离解析
几天没写, csdn的编辑器都换了, 找不到之前的入口了, 新的编辑器不是很好用,不知道排版出来怎么样,将就看吧... 安装Bind服务程序 BIND(Berkeley Internet Name D ...
- bind98-内网智能DNS之master服务器构建
公司有一测试环境,上面跑着线上的各个网站的线下版本(即上线之前在本地所做的测试).起初,我们在配置该环境时,访问每个网站均采用独立IP的形式进行.这样一来,仅仅就这一个服务器上就占用了内网的10几个I ...
- 配置LINUX的DNS主辅服务器
配置主DNS服务器: 1:在原有named.conf文件的基础上,增加如下内容: zone "example.com" { type master; file "ex ...
最新文章
- android 加载条封装,Android基于JsBridge封装的高效带加载进度的WebView
- 谷歌翻译无法连接网络_window10无法连接网络
- Qt实现Linux下模拟点击界面,如何利用QT实现模拟鼠标点击?
- Cisco ppp链路单双认证
- tomcat遇到jre\lib\ext\localedata.pack 时出错
- C++11 thread_local
- word转pdf公式乱码_word转pdf乱码
- python封装DM达梦数据库-增删改查
- 《机器学习实战:基于Scikit-Learn、Keras和TensorFlow第2版》-学习笔记(1)
- C# 视频监控系列(12):H264播放器——播放录像文件
- 指针pt的值(pt,pt,*pt)
- 《联邦学习实战》杨强 读书笔记十七——联邦学习加速方法
- 探索 Android Q:位置权限
- 学渣的刷题之旅 leetcode刷题 28. 实现 strStr()
- Mac 安装 IntelliJ IDEA 以及激活方法
- fpc软性线路板生产工艺
- 【力扣】2的幂,3的幂,4的幂
- 1108 String复读机 (20 分)
- 什么是内容交付网络?
- 磁共振系统技术之匀场
热门文章
- 其实,API 编程并不难!
- 为中国本土NGINX用户和开发者提供技能升级的考试认证平台
- Ruby 28 岁生日快乐!
- 探究贴片广告背后的技术大片
- 微软即将发布的.NET 5,蕴藏哪些最新特性?
- 5年5亿美金,一年送出 1000 张训练卡,华为昇腾如何吸引AI开发者?
- 对话诸葛 io 孔淼:数据分析如何做,才能圈住用户?
- TypeScript 热度超 C 与 Python、Go 开发收入高、运维吃香,调查了 65000 名开发者有这些发现!...
- 我写了一个“文本转手写”神器来搞定作业!
- OPPO 回应“不务正业”生产口罩;旧款 iPhone 降速被罚 2500 万欧元;Angular 9.0.0 发布| 极客头条...