Linux操作系統(tǒng)教案（28）教學標題項目十DNS服務配置授課班級課時2場地機房時間星期三授課教師唐乾林教學設計1.項目/任務價值DNS服務器的配置與管理2.學習目標知識目標1能利用講授的課程學習方法學習本課程；2能準確表達出DNS的概念；3熟悉DNS服務器的基本術語能力目標1能能配置DNS服務器；2掌握DNS服務器的安裝和啟停控制思政-素質目標1線上線下結合，引導學習方式，培養(yǎng)自主學習能力；2培養(yǎng)學生積極探索、勇于創(chuàng)新的科學素養(yǎng)；3養(yǎng)成小組溝通協作共同學習，解決問題能力和團隊合作精神；4能按照實訓6S管理要求做好課前的準備，課后的整理工作，培養(yǎng)勤儉、奮斗、創(chuàng)新、奉獻的勞動精神；5適當講述勵志小故事，正向引導學生的價值觀3.學習內容1任務描述2知識準備：課程的導學；DNS服務配置的概念、DNS服務架構3任務實施：DNS服務安裝、配置、啟動、客戶端配置4重點：DNS服務的安裝、配置5難點：DNS服務配置4.學習資源重電超星網課平臺，多媒體課件，理實一體化實訓室實物：教材教學實施過程教學環(huán)節(jié)學生、教師活動教學方法、手段及思政設計時間分配課程導學：通過一些應用實例導入本課程，如：上網不用IP地址，而用域名明確學習目標學習要求：預習+認真+復習+用心互動問題討論列舉生活中一些實際應用，引導學生聯系生活中計算機應用案例，激發(fā)學生的學習興趣多媒體演示信息調研講授、討論、案例教學課前發(fā)布導學單，線上線下結合，引導學習方式轉變，培養(yǎng)自主學習能力。小組協作、溝通、互助學習，培育團隊合作意識。5復習舊課，引入學習內容在互聯網上的每一個計算機都擁有一個唯一的地址，稱作“IP地址”，但是在Internet上瀏覽網站時，大都使用的是便于用戶記憶的稱之為主機域名，或叫主機名的友好名字而不是IP地址。例如，用戶在訪問“百度”的時候一般都是使用訪問，而很少有人會使用其IP地址09。但是，在互聯網中只能通過IP地址尋找和識別目標主機，這就需要首先把目標主機的域名轉換成IP地址。用于存儲主機域名和IP地址對應關系并接受客戶端查詢的計算機被稱為DNS（DomainNameSystem）服務器。DNS客戶端向DNS服務器提出查詢，DNS服務器作出響應的過程稱為域名解析。提問，討論，激發(fā)學習興趣多媒體演示信息調研講授、討論、案例教學課前發(fā)布導學單，線上線下結合，引導學習方式轉變，培養(yǎng)自主學習能力。5教學內容：了解域名解析服務工作原理（1）DNS系統(tǒng)結構與管理InterNIC負責劃分數據庫的名字信息。樹根（也稱根域）下是頂級域（或稱一級），再往下是二級、三級域。單靠幾臺DNS服務器肯定不能滿足全球用戶的需求，所以從工作形式上DNS服務器又分主服務器、從服務器（輔助服務器）、緩存服務器。（2）．DNS解析與工作流程（3）遞歸查詢和迭代查詢1）遞歸查詢。遞歸查詢：DNS客戶機只發(fā)出一次請求，就能得到結果（查詢的到或查詢不到）。DNS客戶機向LocalDNS發(fā)起查詢請求時，用的是遞歸查詢。如果LocalDNS沒有開啟遞歸功能，那么本地DNS服務器如果沒有結果，則直接返回查詢不到，而不會進行迭代查詢去獲取結果。一般LocalDNS都會開啟遞歸功能（recursionyes;），而某個域的權威DNS一般只對內開啟遞歸，對外關閉。所謂的LocalDNS不一定指你的內網DNS，像我們平常上網設置的14、或者聯通電信的DNS，都可以叫LocalDNS，這類DNS也叫緩存DNS，即將迭代查詢得到的結果緩存到本地，當有其他用戶請求同一個域名解析時直接調取緩存，加速DNS查詢速度，畢竟迭代查詢還是很慢和消耗資源的。權威DNS就是管理某個域的DNS，即迭代查詢給出最終答案的那臺DNS。平常DNS客戶機去LocalDNS解析域名拿到的一般都是非權威應答，即LocalDNS直接從緩存中查詢結果，然后將結果返回。2）迭代查詢。DNS服務器之間的查詢是迭代查詢，在該模式下通常要發(fā)出多次請求才能得到答案。迭代查詢又稱重指引，當DNS服務器使用迭代查詢時能夠使其他DNS服務器返回一個最佳的查詢點提示或主機地址，若此最佳的查詢點中包含需要查詢的主機地址，則返回主機地址信息，若不能夠直接查詢到主機地址，則是按照提示的指引依次查詢，直到服務器給出的提示中包含所需要查詢的主機地址為止。一般的，每次指引都會更靠近根服務器（向上），查尋到根域名服務器后，則會再次根據提示向下查找。（4）DNS的查詢順序DNS服務器在域名解析過程中的詳細的請求的順序為：客戶端Host文件、客戶端緩存、服務器區(qū)域文件、轉發(fā)域名服務器、根域名服務器。1）如果查詢請求是本機所負責區(qū)域中的數據的話，要通過查詢區(qū)域數據文件返回結果，這樣獲得的就是權威應答；2）如果查詢請求不是本機所負責區(qū)域中的數據的話，就查詢緩存，有答案則返回結果，這樣獲得的是非權威應答；3）如果緩存中沒有答案，則向根發(fā)起查詢請求（前提是開啟了遞歸），根返回負責.com的DNS的記錄NS和A記錄，如此迭代查詢直到獲得結果。2.安裝Bind服務程序BIND，即BerkeleyInternetNameDaemon，伯克利互聯網域名服務是一款全球互聯網使用最廣泛的能夠提供安全可靠、快捷高效的域名解析服務程序，13臺根DNS服務器以及互聯網中的DNS服務器絕大多數，超過95%是基于BIND服務程序搭建的。BIND服務程序為了能夠安全的提供解析服務而支持了TSIG（TSIGRFC2845）加密機制，TSIG主要是利用密碼編碼方式保護區(qū)域信息的傳送（ZoneTransfer），也就是說保證了DNS服務器之間傳送區(qū)域信息的安全。并且，Bind服務程序還支持chroot（changeroot）監(jiān)牢安全機制，chroot機制會限制bind服務程序僅能對自身配置文件進行操作，從而保證了整個服務器的安全。BIND包括一個用來將域名解析為IP的DNS服務器軟件，一個解析庫，以及一個DNS測試工具程序。要配置DNS服務器，先要在Linux系統(tǒng)中使用命令查看bind和bind-libs是否已經安裝，如果沒有安裝必須事先安裝好。[root@rhel7~]#rpm-qa|grepbindbind-utils-9.9.4-14.el7.x86_64//提供了對DNS服務器的測試工具程序，如nslookup、dig等。bind-license-9.9.4-14.el7.noarchbind-libs-9.9.4-14.el7.x86_64bind-chroot-9.9.4-14.el7.x86_64//提供一個偽裝的根目錄/var/named/chroot/以增強安全性。bind-libs-lite-9.9.4-14.el7.x86_64bind-9.9.4-14.el7.x86_64//提供了域名服務的主要程序及相關文件。BIND軟件包安裝后，系統(tǒng)將創(chuàng)建名為named的用戶和用戶組，并自動設置相關目錄的權屬關系。named守護進程默認使用named用戶身份運行。[root@rhel7~]#grepnamed/etc/passwdnamed:x:25:25:Named:/var/named:/sbin/nologin[root@rhel7~]#grepnamed/etc/groupnamed:x:25:如果是利用源代碼安裝，還應該手工創(chuàng)建named用戶和用戶組，并設置好工作目錄（/var/named）和用于存放進程號文件的目錄（/var/run/named）的所有者和權限。[root@rhel7~]#ll/var/named/-ddrwxr-x.6rootnamed40963月12017/var/named/[root@rhel7~]#ll/var/run/named/-ddrwxr-xr-x.2namednamed8012月2700:32/var/run/named/配置文件的目錄：沒有安裝bind-chroot軟件包，配置文件為/etc/named.conf，數據文件在/var/named目錄下。如果安裝并使用bind-chroot，則配置文件為/var/named/chroot/etc/named.conf，默認沒有，數據文件在/var/named/chroot/var/named目錄下。3．BIND啟?？刂苙amed作為標準的系統(tǒng)服務腳本，通過“systemctlstart/restart/stopnamed.service”的形式可以實現對服務器程序的控制。named默認監(jiān)聽TCP、UDP協議的53端口，以及TCP的953端口：其中UDP53端口一般對所有客戶機開放，以提供解析服務；TCP53端口一般只對特定從域名服務器開放，提高解析記錄傳輸通道；TCP953端口默認只對本機（）開放，用于為rndc遠程管理工具提供控制通道。4．開啟防火墻并允許訪問bind[root@rhel7~]#firewall-cmd--add-service=dns--permanentsuccess//通過指定服務名開放dns服務，--permanent選項表示永遠生效。[root@rhel7~]#firewall-cmd--zone=public--add-port=53/udp--permanent[root@rhel7~]#firewall-cmd--reload5．關閉SELinux對bind守護進程的保護[root@rhel7~]#setsebool-Pnamed_disable_trans1[root@rhel7~]#systemctlrestartnamed列舉實例小組討論如何設置小范圍局域網？多媒體演示啟發(fā)式教學正常使用電腦一絲不茍、規(guī)范操作（根據實際情況引入思政）一絲不茍、規(guī)范操作（根據實際情況引入思政）35擴展：詳解named.conf配置文件[root@rhel7~]#rpm-qf/etc/named.conf//查詢主配置文件由哪個程序生成。bind-9.9.4-14.el7.x86_64[root@rhel7~]#more/etc/named.conf////named.conf////ProvidedbyRedHatbindpackagetoconfiguretheISCBINDnamed(8)DNS//serverasacachingonlynameserver(asalocalhostDNSresolveronly).//由RedHat提供，將ISCBINDnamed(8)DNS服務器//配置為暫存域名服務器(用來做本地DNS解析).////See/usr/share/doc/bind*/sample/forexamplenamedconfigurationfiles.//該目錄中可以查看named配置案例//第一部分：全局設置。options{ listen-onport53{;}; listen-on-v6port53{::1;}; directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file"/var/named/data/named_stats.txt"; memstatistics-file"/var/named/data/named_mem_stats.txt"; allow-query{localhost;}; /* -IfyouarebuildinganAUTHORITATIVEDNSserver,doNOTenablerecursion. -IfyouarebuildingaRECURSIVE(caching)DNSserver,youneedtoenable recursion. -IfyourrecursiveDNSserverhasapublicIPaddress,youMUSTenableaccess controltolimitqueriestoyourlegitimateusers.Failingtodosowill causeyourservertobecomepartoflargescaleDNSamplification attacks.ImplementingBCP38withinyournetworkwouldgreatly reducesuchattacksurface *//*-如果你要建立一個授權域名服務器，那么不要開啟recursion（遞歸）功能。-如果你要建立一個遞歸DNS服務器，那么需要開啟recursion功能。-如果你的遞歸DNS服務器有公網IP地址，你必須開啟訪問控制功能，只有那些合法用戶才可以發(fā)詢問。如果不這么做的話，那么你的服服務就會受到DNS放大攻擊。實現BCP38將有效抵御這類攻擊。*/ recursionyes; dnssec-enableyes; dnssec-validationyes; dnssec-lookasideauto; /*PathtoISC