• DNS主从配置,及加密限制


    ======================================

    主从配置:

    Slave:192.168.8.12

    [root@dns-s1 ~]# yum install bind -y

    [root@dns-s1 ~]# vim /etc/named.conf

            listen-on port 53 { any; };

            allow-query     { any; };

    zone "bss.com" IN {

            type slave;

            file "slaves/bss.com.zone";       ##定义同步后域文件放置的地方,名字可自定义

            masters { 192.168.8.11; };     ##指定主服务器

    };

    [root@dns-s1 ~]# cd /var/named/

    [root@dns-s1 named]# cd slaves/

    [root@dns-s1 slaves]# ls         ##没有文件

    [root@dns-s1 slaves]# systemctl restart named

    [root@dns-s1 slaves]# ls        ##发现文件同步了过来

    bss.com.zone

    ============================================

    限制服务器内容获取

    Master

    [root@dns ~]# vim /etc/named.conf

      20         allow-transfer  { 192.168.8.12; };       ##限制哪台机器可以学习到本服务器的内容

    添加此项后,则只有该IP的服务器可获取到主服务器上的内容;

    但即便如此,依然不够安全,因为只限制了IP,所以,就需要使用到加密来限制。

    ========

    加密限制

    Master

    [root@dns named]# dnssec-keygen -a HMAC-MD5 -b 128 -n HOST xx  

    Kxx.+157+35157

    [root@dns named]# cat  Kxx.+157+35157.private

    Private-key-format: v1.3

    Algorithm: 157 (HMAC_MD5)

    Key: efhMBprVq93e1HteofB64g==

    Bits: AAA=

    Created: 20190830024600

    Publish: 20190830024600

    Activate: 20190830024600

    [root@dns named]# vim /etc/named.conf ##插入以下内容

     44 server 192.168.8.12 {

     45         keys { xx; };

     46 };

     47

     48 key xx {

     49         Algorithm hmac-md5;

     50         secret efhMBprVq93e1HteofB64g==;

     51 };

    修改此行配置:

     20         allow-transfer  { key xx; };

    [root@dns named]# systemctl restart named

    Slave:

    可以先进行以下测试:

    在之前存放从master上同步过来的域文件删除掉,然后重起服务,发现现在无法同步:

    [root@dns-s1 slaves]# ls

    bss.com.zone

    [root@dns-s1 slaves]# rm -f bss.com.zone

    [root@dns-s1 slaves]# ls       ##此时目录下没有文件

     

    [root@dns-s1 slaves]# systemctl restart named

    [root@dns-s1 slaves]# ls

    [root@dns-s1 slaves]#        ##发现无法获得域文件

    [root@dns-s1 slaves]# vim /etc/named.conf ##修改配置文件

     45 server 192.168.8.11 {

     46         keys { xx;  };

     47 };

     48

     49 key xx {

     50         Algorithm  hmac-md5;

     51         secret  efhMBprVq93e1HteofB64g==;

     52 };

    [root@dns-s1 slaves]# systemctl restart named

    [root@dns-s1 slaves]# ls      ##此时发现文件同步

    bss.com.zone

  • 相关阅读:
    【题解】国家集训队礼物(Lucas定理)
    【题解】佳佳的斐波那契数列(矩阵)
    【题解】Zap(莫比乌斯反演)
    HNOI2019爆零记
    Emacs配置
    【题解】Journeys(线段树优化连边)
    一直没有敢发的NOIP2018游记
    【题解】Digit Tree
    【题解】BZOJ3489 A Hard RMQ problem(主席树套主席树)
    【题解】大括号
  • 原文地址:https://www.cnblogs.com/zhengyipengyou/p/11436461.html
Copyright © 2020-2023  润新知