|
在網(wǎng)絡(luò)管理中���,對(duì)于DNS服務(wù)的管理是一項(xiàng)基礎(chǔ)性的工作�����。隨著用戶規(guī)模的擴(kuò)大����,頻繁地手工修改DNS的區(qū)域數(shù)據(jù)庫(kù)文件不是一件輕松的工作�。關(guān)于動(dòng)態(tài)DNS(DDNS)的研究逐漸引起了人們的關(guān)注,不同的平臺(tái)都推出了自己的解決方案��。本文將詳細(xì)介紹Linux環(huán)境下DDNS的解決方案���,即由InternetSoftwareConsortium(ISC)開(kāi)發(fā)的BIND-DNS和DHCP(DynamicHostConfigureProtocol����,動(dòng)態(tài)主機(jī)配置協(xié)議)協(xié)同工作,進(jìn)而共同實(shí)現(xiàn)DDNS的方法��。
在Linux下實(shí)現(xiàn)動(dòng)態(tài)DNS不僅需要Bind8以上的DNS軟件�,還要有DHCPServerv3.0以上版本,因?yàn)橹挥?.0以上的版本才完全實(shí)現(xiàn)了對(duì)DDNS的支持����。因此,本文的實(shí)現(xiàn)環(huán)境采用SlackwareLinux9.0作為DDNS服務(wù)器�����,其上同時(shí)運(yùn)行DNS和DHCP服務(wù)���,其中DNSServer采用Bind9.2.2,DHCPServer采用DHCPServerv3.0pl2�����。
下面詳細(xì)介紹Linux環(huán)境下安全���、動(dòng)態(tài)DNS的實(shí)現(xiàn)方法����。
創(chuàng)建密鑰
要實(shí)現(xiàn)DNS的動(dòng)態(tài)更新,首先要考慮的是怎樣保證安全地實(shí)現(xiàn)DDNS���。由ISC給出的方法是創(chuàng)建進(jìn)行動(dòng)態(tài)更新的密鑰�,在進(jìn)行更新時(shí)通過(guò)該密鑰加以驗(yàn)證��。為了實(shí)現(xiàn)這一功能�����,需要以root身份運(yùn)行以下命令:
root@slack9:/etc#dnssec-keygen-aHMAC-MD5-b128-nUSERmyddns
Kmyddns.+157+37662
上述dnssec-keygen命令的功能就是生成更新密鑰���,其中參數(shù)-aHMAC-MD5是指密鑰的生成算法采用HMAC-MD5�����;參數(shù)-b128是指密鑰的位數(shù)為128位��;參數(shù)-nUSERmyddns是指密鑰的用戶為myddns�����。
該命令生成的一對(duì)密鑰文件如下:
-rw——1rootroot48Jan1418:26Kmyddns.+157+37662.key
-rw——1rootroot81Jan1418:26Kmyddns.+157+37662.private
可以查看剛生成的密鑰文件內(nèi)容:
root@slack9:/etc#catKmyddns.+157+37662.key
myddns.INKEY021574gEF1Mkmn5hrlwYUeGJV3g==
root@slack9:/etc#catKmyddns.+157+37662.private
Private-key-format:v1.2
Algorithm:157(HMAC_MD5)
Key:4gEF1Mkmn5hrlwYUeGJV3g==
仔細(xì)閱讀該密鑰文件就會(huì)發(fā)現(xiàn)���,這兩個(gè)文件中包含的密鑰是一樣的�����,該密鑰就是DHCP對(duì)DNS進(jìn)行安全動(dòng)態(tài)更新時(shí)的憑據(jù)�����。后面需要將該密鑰分別添加到DNS和DHCP的配置文件中�����。
修改DNS的主配置文件
密鑰生成后就要開(kāi)始對(duì)/etc/named.conf文件進(jìn)行編輯修改����,主要目的是將密鑰信息添加到DNS的主配置文件中�����。本文給出修改后的/etc/named.conf的一個(gè)實(shí)例:
options{directory"/var/named";file://指定區(qū)域數(shù)據(jù)庫(kù)文件的存放目錄};zone"."IN{typehint;file"caching-example/named.ca";};zone"localhost"IN{typemaster;file"caching-example/localhost.zone";allow-update{none;};};zone"0.0.127.in-addr.arpa"IN{typemaster;file"caching-example/named.local";allow-update{none;};};keymyddns{algorithmHMAC-MD5.SIG-ALG.REG.INT;file://指明生成密鑰的算法secret4gEF1Mkmn5hrlwYUeGJV3g==;file://指明密鑰};zone"tcbuu.cn"IN{typemaster;file"tcbuu.cn";file://正向區(qū)域文件名tcbuu.cn���,后文會(huì)用到該文件allow-update{keymyddns;};file://指明采用keymyddns作為密鑰的用戶可以動(dòng)態(tài)更新該區(qū)域“tcbuu.cn”};zone"1.22.10.in-addr.arpa"IN{typemaster;file"tcbuu.cn.arpa";//反向區(qū)域文件名tcbuu.cnallow-update{keymyddns;};file://指明采用keymyddns作為密鑰的用戶可以動(dòng)態(tài)更新該區(qū)域“1.22.10.in-addr.arpa”};在/etc/named.conf中可以定義多個(gè)區(qū)域,只要在允許動(dòng)態(tài)更新的區(qū)域中增加allow-update{keymyddns;}指令���,即可實(shí)現(xiàn)動(dòng)態(tài)更新�,并且只有擁有keymyddns實(shí)體(在本文的實(shí)現(xiàn)中該實(shí)體就是擁有同樣密鑰的DHCP服務(wù)器)才能實(shí)現(xiàn)對(duì)該區(qū)域進(jìn)行安全地動(dòng)態(tài)更新。相比原來(lái)只限定IP地址的方法����,該方法要安全得多。
至此完成對(duì)DNS服務(wù)器的配置���,可以執(zhí)行#named運(yùn)行DNS服務(wù)�。
修改DHCP的配置文件
DHCP的主要功能是為DHCP客戶動(dòng)態(tài)地分配IP地址����、掩碼、網(wǎng)關(guān)等內(nèi)容����。正是由于DHCP的動(dòng)態(tài)特性,在實(shí)現(xiàn)DDNS時(shí)���,DHCP成為首選方案�。
給出修改后的/etc/dhcpd.conf的一個(gè)實(shí)例:
#dhcpd.conf#SampleconfigurationfileforISCdhcpd#optiondefinitionscommontoallsupportednetworks...optiondomain-name"tcbuu.cn";optiondomain-name-servers10.22.1.123;default-lease-time600;max-lease-time800;ddns-update-styleinterim;file://指明實(shí)現(xiàn)動(dòng)態(tài)DNS的方法為interimsubnet10.22.1.0netmask255.255.255.0{range10.22.1.6010.22.1.69;//地址池optionbroadcast-address10.22.1.255;optionrouters10.22.1.100;}keymyddns{//指明密鑰生成的算法及密鑰algorithmHMAC-MD5.SIG-ALG.REG.INT;secret4gEF1Mkmn5hrlwYUeGJV3g==;}zonetcbuu.cn.{primary10.22.1.123;keymyddns;//指明更新時(shí)采取的密鑰keymyddns}zone1.22.10.in-addr.arpa.{primary10.22.1.123;keymyddns;//指明更新時(shí)采取的密鑰keymyddns} 說(shuō)明:
1.ddns-update-styleinterim
由ISC開(kāi)發(fā)的DHCP服務(wù)器目前主要支持interim方法來(lái)進(jìn)行DNS的動(dòng)態(tài)更新���,另外一種稱為ad-hoc的方法基本上已經(jīng)不再采用���。因此�,實(shí)際上���,interim方法是目前Linux環(huán)境下通過(guò)DHCP實(shí)現(xiàn)安全DDNS更新的惟一方法����。
2.keymyddns{//指明密鑰生成的算法及密鑰
algorithmHMAC-MD5.SIG-ALG.REG.INT;
secret4gEF1Mkmn5hrlwYUeGJV3g==;
}
此段內(nèi)容與/etc/named.conf中的完全一樣�����。需要注意的是�����,在編輯/etc/dhcpd.conf時(shí)����,{}的末尾沒(méi)有“;”����,這是與/etc/named.conf中不一樣的地方���。
3.在/etc/dhcpd.conf中指明的區(qū)域名稱后面一定要以“.”結(jié)尾�����。因此zonetcbuu.cn.中的cn和zone1.22.10.in-addr.arpa.中的arpa后面一定要有“.”���。
/etc/dhcpd.conf配置完成�,可以執(zhí)行#dhcpd將DHCP服務(wù)運(yùn)行起來(lái)��。
測(cè)試DDNS
經(jīng)過(guò)上述服務(wù)器的配置��,現(xiàn)在可以檢測(cè)一下DDNS的實(shí)現(xiàn)過(guò)程��。
當(dāng)DNS配置成支持動(dòng)態(tài)更新后���,在/var/named/目錄下會(huì)多出兩個(gè)以.jnl結(jié)尾的二進(jìn)制格式區(qū)域文件�����。這兩個(gè)文件是當(dāng)前正在工作的區(qū)域文件的運(yùn)行時(shí)文件�,所有動(dòng)態(tài)更新的紀(jì)錄都會(huì)最先反映到這兩個(gè)文件中�,然后經(jīng)過(guò)大約15分鐘左右才將更新的內(nèi)容反映到文本形式的區(qū)域文件中,即以.jnl結(jié)尾的區(qū)域文件中是最新的內(nèi)容���。
在本文所舉實(shí)例中���,/var/named/目錄下的區(qū)域文件為:
tcbuu.cn正向區(qū)域文件��。
tcbuu.cn.arpa反向區(qū)域文件�����。
tcbuu.cn.arpa.jnl臨時(shí)工作的二進(jìn)制正向區(qū)域文件(新增)����。
tcbuu.cn.jnl臨時(shí)工作的二進(jìn)制反向區(qū)域文件(新增)�����。
1.以Windows2000作為DHCP客戶端測(cè)試
(1)設(shè)客戶機(jī)的主機(jī)名為kill-virus�,執(zhí)行ipconfig/all顯示所獲得的IP地址為10.22.1.69。
(2)在客戶端執(zhí)行nslookup測(cè)試�。
C:\DocumentsandSettings\Administrator>nslookup
DefaultServer:slack9.tcbuu.cn
Address:10.22.1.123
>kill-virus.tcbuu.cn//測(cè)試客戶機(jī)FQDN在區(qū)域文件中是否存在
Server:slack9.tcbuu.cn
Address:10.22.1.123
Name:kill-virus.tcbuu.cn
Address:10.22.1.69//測(cè)試結(jié)果,表明該資源紀(jì)錄存在
(3)在客戶機(jī)kill-virus上執(zhí)行ipconfig/release釋放獲得的IP地址��。
(4)在客戶機(jī)kill-virus上執(zhí)行ipconfig/renew重新獲得IP地址�����。
(5)用nslookup顯示區(qū)域數(shù)據(jù)庫(kù)中的內(nèi)容。
C:\DocumentsandSettings\Administrator>nslookup
DefaultServer:slack9.tcbuu.cn
Address:10.22.1.123
>lstcbuu.cn//顯示區(qū)域數(shù)據(jù)庫(kù)中的資源紀(jì)錄
[ftp.tcbuu.cn]
tcbuu.cn.NSserver=slack9.tcbuu.cn
D2501A10.22.1.60
dellpcA10.22.1.100
kill-virusA10.22.1.61file://IP地址發(fā)生變化
slack9A10.22.1.123
以上測(cè)試說(shuō)明同一臺(tái)客戶機(jī)kill-virus通過(guò)DHCP服務(wù)可以先后獲得IP地址���,并與動(dòng)態(tài)DNS服務(wù)器建立聯(lián)系,使該客戶機(jī)的主機(jī)名與獲得的IP地址一同作為一條紀(jì)錄動(dòng)態(tài)地更新到正向區(qū)域文件中去���������?梢圆捎猛瑯拥姆椒y(cè)試反向區(qū)域的更新,不再贅述�����。
2.用LinuxDHCP客戶端測(cè)試
在LinuxDHCP客戶端進(jìn)行測(cè)試時(shí)����,需要執(zhí)行dhcpcd守護(hù)進(jìn)程。如果要進(jìn)行動(dòng)態(tài)更新���,還需要加上-h參數(shù)�。執(zhí)行的命令格式如下:
#dhcpcd-hMyLinux
其中-h后面跟的是本機(jī)的主機(jī)名����,用來(lái)通過(guò)DHCP服務(wù)注冊(cè)到DDNS服務(wù)器的區(qū)域文件中��,是進(jìn)行動(dòng)態(tài)更新必不可少的��。
動(dòng)態(tài)更新后的區(qū)域數(shù)據(jù)庫(kù)文件
通過(guò)查看正向區(qū)域數(shù)據(jù)庫(kù)文件/var/named/tcbuu.cn和反向區(qū)域數(shù)據(jù)庫(kù)文件/var/named/tcbuu.cn����,可以了解區(qū)域數(shù)據(jù)庫(kù)文件到底更新了哪些內(nèi)容�。
#cat/var/named/tcbuu.cn
$ORIGIN.
$TTL36000;10hours
tcbuu.cnINSOAslack9.tcbuu.cn.root.slack9.tcbuu.cn.(
2004011402;serial
3600;refresh(1hour)
1800;retry(30minutes)
36000;expire(10hours)
36000;minimum(10hours)
)
NSslack9.tcbuu.cn.
$ORIGINtcbuu.cn.
dellpcA10.22.1.100
ftpCNAMEslack9
$TTL300;5minutes
kill-virusA10.22.1.61
TXT"3156e87eb0180675cfb5e3e8ad026e78b3"
$TTL36000;10hours
slack9A10.22.1.123
wwwCNAMEslack9
以上區(qū)域文件的書寫格式與更新前相比變化較大,說(shuō)明該文件已被更新過(guò)了���。這里還要說(shuō)明的是���,在動(dòng)態(tài)更新的客戶端kill-virus的A紀(jì)錄下多了一條同名的TXT類型的紀(jì)錄。TXT類型紀(jì)錄是BIND-DNS和DHCP專門用來(lái)實(shí)現(xiàn)DDNS的輔助性資源紀(jì)錄�����,它的值是哈希標(biāo)示符字符串����,該字符串的值還可以在/var/state/dhcp/dhcpd.leases文件中找到。
總的來(lái)說(shuō)����,在Linux下通過(guò)DHCP實(shí)現(xiàn)安全DDNS的過(guò)程可分為三步:第一��,創(chuàng)建進(jìn)行安全動(dòng)態(tài)更新的密鑰�����;第二,修改DNS的主配置文件/etc/named.conf����,目的是定義采用動(dòng)態(tài)更新的密鑰及指定可以動(dòng)態(tài)更新的區(qū)域;第三���,修改DHCP的配置文件/etc/dhcpd.conf���,目的是定義采用動(dòng)態(tài)更新的密鑰及指定動(dòng)態(tài)更新哪些區(qū)域。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)�!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
