Linux 搭建DNS服务

bind介绍

在局域网环境中,一般我们要搭建DNS服务,使用的是BIND(Berkeley Internet Name Domain)软件来实现,BIND提供了一个名为named(也叫named daemon)的服务程序,用于处理DNS查询。

BIND 由 Internet Systems Consortium (ISC) 开发和维护,所以可以访问ISC 的官方网站来获取关于 BIND的相关信息。

除了BIND外,还有其它的软件也可以用来搭建DNS服务,例如powerdns,dnsmasq,unbound,coredns(主要用在k8s环境中)等。

ISC官网:https://www.isc.org/

搭建正向解析DNS服务

正向解析:将域名转换为与之关联的IP地址的过程

反向解析:一个查找与特定IP地址关联的域名的过程

1、安装bind

一般通过Linux发行版提供的软件包管理工具(例如yum、apt)进行安装即可,如果需要进行编译安装,可以去官网或者github下载源码,参考管理员手册进行编译安装。

使用包管理工具进行安装:

例如:ubuntu2004安装bind9

# ubuntu
apt install bind9

# centos
yum install bind

2、修改配置

通过软件包管理工具安装了bind9服务后,配置文件一般放在 /etc/bind/ 目录下,主配置文件一般是 named.conf

例如:在ubuntu2004中使用apt进行安装后,默认带的配置文件有这些

在主配置文件中,使用include 指令来引入了其它的配置文件。

有一个叫作named.conf.options的配置文件,包含了一个 options配置块,options块用于指定全局服务器选项。这些选项会影响BIND服务器的整体行为。

例如:端口指定、工作目录指定、上层DNS、查询权限等。

端口配置

bind默认监听UDP和TCP的53端口,如果要修改端口可以在这个配置文件(named.conf.options)中进行修改。(一般情况下这个端口不用改)

# any 表示any 允许所有的机器访问本机这个dns服务器
# ipv6端口指定
listen-on-v6 port 5353 { any; };

# ipv4端口指定
listen-on port 5353 { any; };

说明:

当使用 ss -ntl | grep 53 查看端口监听时,有一个 127.0.0.53%lo:53 。这个是 systemd-resolved 服务默认监听的地址和端口,在ubuntu1804及其以上的版本中默认启用 systemd-resolved服务。

日志配置

默认情况下,BIND把日志消息写到系统日志里面的,例如centos是/var/log/messages文件,ubuntu则是/var/log/syslog。如果我们想要自定义bind的日志存放位置话,可以通过loging配置块来实现。(如果没需求可以不改)

loging配置块定义如何记录服务器的活动。您可以指定记录哪些类别的消息、它们的严重性以及它们应该记录到哪里。

(1)一般是/etc/bind目录下单独创建一个文件,叫作 named.conf.logging,通过在这个配置文件里面添加日志的相关配置。

sudo vim /etc/bind/named.conf.logging
logging {
    channel query_log {
        file "/var/log/named/query.log";
        severity info;
        print-time yes;
    };
    channel other_log {
        file "/var/log/named/other.log";
        severity info;
        print-time yes;
    };

    category queries {
        query_log;
    };
    category default {
        other_log;
    };
};

说明:

  • 需要保证文件的所属组是bind(chown bind:bind /etc/bind/named.conf.logging)

  • 需要保证bind对存放日志的目录具有读写权限(chown bind:bind /var/log/named)

(2)编写好配置文件后,将配置文件通过在主配置文件中通过include指令来引入。

include "/etc/bind/named.conf.logging";

logging的指令说明:

  • channel: 定义日志输出通道

  • category: 指定某个日志类别应记录到哪个通道

  • file: 指定日志文件的路径

  • severity: 设置日志级别

(3)重启服务后即可生效

访问控制

通过option配置块的allow-query 和 allow-transfer可以用于设置访问控制。如果不设置默认就是允许任何客户端进行查询和请求区域传输。

  • allow-query: 用于控制哪些客户端可以向DNS服务器发起查询

  • allow-transfer: 用于控制哪些DNS服务器被允许从当前服务器同步(或请求)区域数据,即进行区域传输。

options {
	allow-query  { any; };
	allow-transfer { none; }; # none:不允许任何服务器同步或请求该服务器上的完整区域数据。,如果要允许修改为any或指定的ip地址
}

上层DNS指定

当BIND服务器收到一个它无法直接回答的DNS查询时(例如,因为它不是查询的域的权威服务器,并且查询结果也不在其缓存中),会默认到互联网上找根。为了提高查询效率,将这个查询转发(forward)到 forwarders 列表中指定的一个或多个DNS服务器上去。

options {
        forwarders {
                114.114.114.114;
                180.76.76.76;
        };

}

区域配置

这是配置DNS正向解析的第一步。bind的区域配置是通过 zone 配置块来实现的。区域配置就是配置域名解析的规则。

例如:自带的 named.conf.default-zones 这个文件中,就配置了一些默认的解析规则。

例如:我需要将 www.yongshen.com 这个FQDN解析为ipv4地址10.0.0.66,可以这样做:

(1)先创建区域配置文件,命名方式一般是 域名.zones。 一般单独创建一个目录来存放,方便后期管理

mkdir /etc/bind/yongshen
chown bind:bind /etc/bind/yongshen

然后在这个目录下编辑区域配置文件:

sudo vim /etc/bin/yongshen/yongshen.zones
zone "yongshen.com." {
        type master;
        file "/etc/bind/yongshen/db.yongshe.com";
};
区域配置文件说明

zone配置块,大致的格式就是:

zone "要解析的域名" {
	type master; # master表示这个是权威区域,该服务器为该区域内的所有域名提供权威答案
	file xxxx;   # 指定的文件包含了这个区域的所有资源记录
};

type指令说明

type用于指定定义区域的类型,常见的类型有以下这些:

  • master:当有请求来时,可以根据file指定的文件中的信息返回权威答案

  • slave:当有请求来时,它可以响应请求,但它是一个从属或备份区域。它从指定的主服务器复制区域数据,自身不能直接修改区域内容。任何修改都需要在主服务器上进行,并随后同步到从服务器

  • hint:此区域用于配置根DNS服务器的信息

file指令说明

file指令用于指定 区域文件,也叫 区域数据文件。这个文件包含了若干条资源记录,通过这个文件可以为域名提供详细的解析信息。

这个文件的作用就是告诉BIND:“当有人查询某个FQDN时,请给他这个IP地址作为答案”。

(2)编辑区域数据文件
区域配置文件搞定后,需要创建zone配置块中file指定的区域数据文件,一个区域数据文件由若干条区域数据记录组成。

sudo vim /etc/bind/yongshen/db.yongshe.com
$TTL    86400
@       IN      SOA     master.yongshe.com. admin.yongshe.com. (
                            2023102401  ; Serial
                            3600        ; Refresh
                            1800        ; Retry
                            604800      ; Expire
                            86400       ; Minimum TTL
                            )

@          IN      NS      master.yongshen.com.
master     IN      A    10.0.0.66

www        IN      A    10.0.0.66
区域数据文件说明

一个区域数据文件由若干条区域数据记录组成,每条区域记录由 5 部分组成:

NAME   [TTL]   IN   type   value

NAME

NAME:指定当前负责解析的域名,可以使用 @ 符号来表示当前解析的域名就是 区域配置里面改zone配置块指定的域名

例如:

www   IN      A    10.0.0.66 表示要解析的FQDN就是 www.yongshen.com

TTL

TTL:表示缓存过期的时间,当一个客户端(或者递归DNS服务器)向权威DNS服务器查询一个域名并得到答案后,这个答案(DNS记录)会被缓存在客户端或递归服务器上。TTL值就是告诉这些客户端或服务器应该缓存这条记录多长时间。在这个缓存时间内,如果再次有对同一条DNS记录的查询,客户端或递归服务器可以直接从自己的缓存中获取答案,超过TTL指定的时间了记录就会从缓存中被移除,相同的查询请求就需要重新请求。


IN

IN:指的就是这个记录属于Internet类,其他类基本上都没用了


type

type用于指定区域记录的类型,不同类型的区域记录有不同的作用。并且不同的类型,对应的value值也不同。

  • A: 表示这条资源记录类型是 IPv4地址记录,用于将一个域名映射为IPv4地址,所以value对应的值就是一个IPv4地址。

例如:

www        IN      A    10.0.0.66

  • AAAA: 表示这条资源记录类型是 IPv4地址记录,用于将一个域名映射为IPv6地址,value对应的值就是一个IPv6地址

例如:

mail IN AAAA 2001:db8::1

  • NS: 这种记录类型用于指定哪些DNS服务器是权威服务器,对应的value值是权威DNS服务器的域名(末尾的点不能省略)

例如:

@          IN      NS      master.yongshen.com. 表明权威服务器是  master.yongshen.com.

具体过程如下:

1、当客户端(或其他DNS服务器)想要解析一个特定的域名,例如 www.yongshen.com, 它首先会查询其本地缓存或前置DNS服务器。如果没有找到答案,它可能会进一步查询根服务器或其他已知的上级服务器来寻找关于yongshen.com域的权威服务器信息。

2、在此情境中,权威服务器的标识为 master.yongshen.com,这是通过NS记录 @ IN NS master.yongshen.com. 指定的。这告诉询问者,如果想要解析属于yongshen.com域的任何主机名,它应该联系master.yongshen.com。

3、 但这还不够,因为询问者需要知道master.yongshen.com的实际IP地址才能与之联系。为了提供这一信息,还有一条A记录:master IN A 10.0.0.66,告诉询问者master.yongshen.com的IPv4地址是10.0.0.66。

4、当查询请求到达IP地址10.0.0.66的服务器时,因为该服务器已经配置为yongshen.com域的权威服务器并拥有该域的完整区域文件(通过zone配置块的type和file实现的),它会查找关于www.yongshen.com的记录。在此例中,它找到了记录www IN A 10.0.0.66,所以它会将10.0.0.66这个地址返回给询问者。


  • SOA:这种类型的资源记录在每个区域数据文件中有且只有一个,且是第一条记录。用来设置这个区域的一些属性信息的。对应的value就是这个区域的相关属性信息。
# 邮箱只起到说明作用,不起实质的作用

@ IN SOA <主域名服务器名> <负责人邮箱> (
    <序列号>   ; Serial Number
    <刷新时间> ; Refresh Interval
    <重试时间> ; Retry Interval
    <过期时间> ; Expire Time
    <最小TTL>  ; Minimum TTL
)

字段说明:

  • 主域名服务器名称:权威的名称服务器,负责该DNS区域(通常为完全限定的域名),用于告诉其他服务器或者客户端:“如果你有关于这个区域的问题,你应该来问我。” (在SOA记录中指定的主域名服务器名称通常就是该区域的权威名称服务器,这与NS记录中列出的名称服务器一致。)

  • 负责人邮箱:负责这个区域的管理员的电子邮件地址,一般使用“.”替代“@”。

  • 序列号:表示区域文件的版本的数字,更改区域文件时应该增加这个数字。这样如果搭建了主从架构,从属或备份的DNS服务器知道主服务器的数据已经更改,从而触发更新。

  • 刷新时间:搭建主从架构时,告诉从属服务器多久检查主服务器的序列号一次

  • 重试时间:从属服务器在刷新时间结束后尝试联系主服务器但失败,它会在这个“重试时间”结束后再次尝试。

  • 过期时间:从属服务器在多长时间内无法与主服务器通信后,将停止回答关于这个区域的查询。例如向从服务器请求:www.tom.com的ip地址是多少, 但是604800秒后都没法和主服务器通信,所以它就不会回答这个请求了。

  • 最小TTL:其他服务器应该缓存此区域中任何记录的最短时间。


(3)将区域文件加入主配置文件
区域文件和区域数据文件都创建和配置后,需要将区域文件加入主配置文件中。

sudo vim /etc/bind/named.conf
include "/etc/bind/yongshen/yongshen.zones";

3、重启服务

重启bind服务后测试是否生效,我在ubuntu2004中使用apt安装bind后,发现有bind9和named这两个服务。

查看named的service文件时,发现使用Alias=bind9.service指定了一个叫作bind9.service的别名。

所以在使用ssytemctl enable named后,/lib/systemd/system/named.service在 /etc/systemd/system/下创建了两个service文件, /etc/systemd/system/bind9.service和/etc/systemd/system/multi-user.target.wants/named.service。

bind9 是在 Debian 及其衍生版本(如 Ubuntu)上的软件包名称和服务名称。在这些发行版中,通常将 named 的服务文件设置为 bind9.service,以与软件包的名称保持一致。所以使用named或者bind9来管理bind进程都是一样的。

sudo systemctl restart bind9.service

4、测试

可以通过dig工具来测试,dig默认使用的是53端口,如果修改了bind服务器的端口,需要使用 -p 参数来指定端口号

# dig通过 @ 来指定DNS服务器地址

dig www.yongshen.com @10.0.0.66 -p 5353

除了使用dig来测试dns是否可用外,还可以使用以下工具进行测试:

  • host:如果需要指定DNS服务器地址,直接在后面写地址就行了。例如:host www.baidu.com 192.168.13.66

  • nslookup:和host使用一样,例如:nslookup www.baidu.com 192.168.13.66

说明: 如果DNS服务器的端口不是默认的53,只有dig提供了 -p参数来指定,host和nslookup都是不能手动指定端口的,


注意事项

BIND中FQDN说明:

在DNS和bind中,完全限定域名的表现形式为由一个点(.)结尾的域名。这个点代表DNS层级结构的根,所以FQDN实际上是从某个节点一直到DNS的根的完整表示。末尾不带点就是一个相对于名。

在zone配置块中: 定义了一个区域,这个zone配置块负责处理关于yongshen.com的DNS请求,在指定区域名称的时候,如果最后加了点(.)表示这是一个完全限定域名(不加点BIND也通常将其视为FQDN),但是可能会出现在不带点的情况下,把他当作一个相对域,从而给它加上后缀。

例如:特定的网络(企业或大学网络)里面会自动加上后缀,不带点可能就给加上后缀了

在区域数据文件中

  • 资源记录的NAME部分指定了需要处理的域名,很多时候使用的都是相对域名。例如:www IN A 10.0.0.66,会自动将当前zone的名称追加在其后面。 www.yongshen.com

  • 如果使用了全限定域名,例如:www.yongshen.com. IN A 10.0.0.66,就不会将当前zone的名称追加在其后面

$TTL说明

$TTL 是一个全局默认TTL,用于指定那些没有明确设置TTL的记录的生存时间。只需要在文件的顶部定义一次TTL,它会自动应用到所有后续的记录上,除非这些记录自己有明确的TTL设置

@ 符号说明

@ 符号是一个简写,代表当前区域的主域名,即在zone配置块中指定的域名。

除了@符号外,经常用的还有一个 * 号, 符号是一个通配符,和shell中的*效果一样,用来匹配该域中的任何未明确指定的主机名。

例如:

www    IN A 10.0.0.66
*    IN A 10.0.0.67

查询www.yongshen.com 会范围10.0.0.66,查询其它的,例如mail.yongshen.com就返回10.0.0.67

区域数据文件省略说明

在BIND的区域文件中,连续的资源记录(RRs)可以省略与前一条相同的部分。例如:

# 域名 example.com. 在后续的记录中被省略了,因为它与前一条记录相同。
example.com.    IN    A    192.0.2.1
                IN    NS   ns.example.com.
                IN    MX   10 mail.example.com.

BIND配置文件特点

  1. BIND的配置文件有点和JSON格式相似,它们都具有层次结构和使用括号来定义块。

  2. BIND使用大括号来定义一个块,并且每个配置语句以分号结束

  3. 可以使用//进行单行注释,或使用/* */进行多行注释。

配置文件检查

编写完配置文件后,可以通过named-checkconf和named-checkzone检查配置文件是否有语法错误。

named-checkconf 检查的是named.conf这个配置文件,也可以手动指定配置文件

# 不指定配置文件 默认检查named.conf
named-checkconf

# 手动指定配置文件
named-checkconf  /path/x.conf

named-checkzone 检查的是域名对应的区域数据库文件

格式为:

named-checkzone [zone-name] [zone-file-path]

主从结构配置

通过配置BIND的主从结构,实现区域数据的冗余和负载分担。

具体操作就是:
1、主服务器配置区域信息、如果发生数据的更改只能在主服务器上完成。

2、从服务器负责从主服务器复制区域数据信息,从服务器也可以回答关于其区域的DNS查询

主服务器配置:

(1)在options配置快中通过allow-transfer设置只能从服务器进行区域传输,如果不写默认所有的服务器都能进行传输,太危险。

options {
	allow-transfer { 192.168.0.102; };
}

(2)区域配置和区域数据配置,实现方法就和上面搭建正向解析DNS步骤是一样的。

# 区域配置
sudo vim /etc/bin/yongshen/yongshen.zones
zone "yongshen.com." {
        type master;
        file "/etc/bind/yongshen/db.yongshe.com";
};

# 区域数据配置
sudo vim /etc/bind/yongshen/db.yongshe.com
$TTL    86400
@       IN      SOA     master.yongshe.com. admin.yongshe.com. (
                            2023102401  ; Serial
                            3600        ; Refresh
                            1800        ; Retry
                            604800      ; Expire
                            86400       ; Minimum TTL
                            )

@          IN      NS      master.yongshen.com.
master     IN      A    10.0.0.66

www        IN      A    10.0.0.66

从服务器配置;

(1)在options配置快中通过allow-transfer设置不允许所有的服务器都能进行传输,保证安全

options {
	allow-transfer { none; };
}

(2)区域配置和主服务器的区域配置略有不同,首先就是要使用masters 指定主服务器的ip地址,而且file指定不在指定一个区域数据文件了,而是指定指定同步过来的资源记录存放位置

# 区域配置
sudo vim /etc/bin/yongshen/yongshen.zones
zone "yongshen.com." {  # 区域名称要保持一致
        type slave;     # 类型为slave
		 masters {192.168.0.102;}; # 指定为主服务器地址
        file "/var/cache/bind/db.yongshe.com"; # 指定同步过来的资源记录存放位置
};

说明:

从服务器(Slave)通过file指令指定同步过来的资源记录(zone data)的存放位置。这个位置是一个文件系统路径,指向一个文件,当从服务器从主服务器(Master)进行区域传输时,这个文件会被更新。

例如:

  • 基于Debian/Ubuntu的系统:资源记录通常存放在/etc/bind/zones/或/var/cache/bind/下

  • 基于Red Hat/CentOS的系统:资源记录通常存放在/var/named/或/var/named/slaves/

  • 其他UNIX/Linux系统:路径可能会有所不同,但通常会在/var/named/或/etc/namedb/之类的位置

说明;如果需要将同步过来的资源文件存放在一个指定的位置,需要修改一些去安全权限才行。

(3)测试


AppArmor

在ubuntu2004中搭建主从架构的时候,从服务器上通过file指定同步过来的资源记录存放位置,默认是存放在/var/cache/bind下,如果自定义一个目录会出现 “dumping master file: xxxxx: open: permission denied”这种提示,这是因为受到了AppArmor定义的策略影响。

这个输出说明了named有一个策略被激活了,策略的名字是(/usr/sbin/named),这个策略影响着正在运行的named进程(PID 468483)

AppArmor说明

AppArmor是Linux的一个内核安全模块,它是基于路径来限制程序能够访问的资源,从而增强系统的安全性。大多数情况下,在 Ubuntu 和 openSUSE 等发行版中默认启用AppArmor模块,Red Hat系列的发行版默认启动的是SELinux模块。

AppArmor一般用于在特定路径下隔离应用程序的环境,例如可以限制一个进程只能访问必要的文件和目录,即使文件系统给予它足够的权限了,通过AppArmor进行限制后照样没权限。

AppArmor有两种工作模式:enforce(强制)模式和complain(投诉)模式,强制模式下不符合策略的操作会被拒绝。而投诉模式下不会组织不符合策略的操作,只会记录到日志。

AppArmor为进程定义的策略规则是存放在 /etc/apparmor.d/ 目录中,策略规则文件命名方式按照 进程所在的绝对路径命名(需要把/换为.)

例如:为 /usr/sbin/named 定义的 AppArmor 策略文件将命名为 usr.sbin.named。因为named进程的路径是:/usr/sbin/named

AppArmor 策略文件也是特别简单的,只需要在配置文件里面加入相关文件路径,然后指定权限。策略生效后进程就只能按照定义的策略队则权限去访问一个文件了。

 文件路径     权限

例如:给某个进程编写一个策略文件,策略规则是只能以读权限访问A文件,那么除了A文件他有读权限,其它目录相对于这个进程来说,什么操作权限都没有。

named的默认策略:

根据AppArmor策略文件的定义规则,为 /usr/sbin/named 定义的 AppArmor 策略文件将命名为 usr.sbin.named。

ehigh@ubuntu:~$ cat  /etc/apparmor.d/usr.sbin.named
# vim:syntax=apparmor
# Last Modified: Fri Jun  1 16:43:22 2007
#include <tunables/global>

# 定义了named进程的权限和限制的作用域。
/usr/sbin/named flags=(attach_disconnected) {
  #include <abstractions/base>
  #include <abstractions/nameservice>

  # capability指令 定义了named进程能够使用的Linux功能
  capability net_bind_service,
  capability setgid,
  capability setuid,
  capability sys_chroot,
  capability sys_resource,

  # 明确了可以访问哪些文件
  # 定义了文件和目录访问权限, r:代表读取权限。 w:代表写入权限。 k:允许named进程锁定文件。 l:代表链接权限。m:代表执行权限,并将文件作为共享对象加载。

  # /etc/bind should be read-only for bind
  # /var/lib/bind is for dynamically updated zone (and journal) files.
  # /var/cache/bind is for slave/stub data, since we're not the origin of it.
  # See /usr/share/doc/bind9/README.Debian.gz
  /etc/bind/** r,
  /var/lib/bind/** rw,
  /var/lib/bind/ rw,
  /var/cache/bind/** lrw,
  /var/cache/bind/ rw,
   .......
  # some people like to put logs in /var/log/named/ instead of having
  # syslog do the heavy lifting.
  /var/log/named/** rw,
  /var/log/named/ rw,
   ......
}

解决方法;

为了解决自定义区域数据文件没权限这个问题,可以采取以下方案:

方法一:
将AppArmor工作模式改为complain模式实现进程不受到策略的影响。

# 修改策略模式
sudo aa-complain /etc/apparmor.d/usr.sbin.named

# 重新加载策略
sudo apparmor_parser -r /path/to/profile


方法二:

修改named的策略文件,将存放区域数据文件的目录加到策略文件中,并赋予对应的权限。

sudo vim /etc/apparmor.d/usr.sbin.named
/etc/bind/zones/** lrw,

例如:自定义从服务器存储资源数据文件的目录为/etc/bind/zones

1、修改策略文件,将自定义的目录加入到策略文件中,并指定操作权限

sudo vim /etc/apparmor.d/usr.sbin.named
/etc/bind/zones/** lrw,

2、修改区域配置文件,让 同步过来的资源记录存放位置 自定义存放到/etc/bind/zones中

zone "foreverhigh.com" {
        type slave;
        masters {192.168.5.202;};
        file "/etc/bind/zones/db1.foreverhigh.com";
};

3、修改目录权限,让bind拥有读写权限

sudo chmod 755 /etc/bind/zones

4、重新加载策略文件并且重启bind服务

sudo apparmor_parser -r /etc/apparmor.d/usr.sbin.named

sudo systemctl restart bind9

5、检查是否生效

posted on 2023-10-30 00:26  背对背依靠  阅读(807)  评论(0编辑  收藏  举报