1、简述DNS服务,并搭建DNS服务器,实现主从,子域授权
DNS是“Domain Name System“的缩写,DNS实现了主机名到IP地址的映照解析。在网络中各主机之间是通过IP地址来通讯寻址的,但是IP地址难记,人类较容易记住的主机名,如果愿望通过主机名来进行通讯,则须要DNS来完成大批的主机名和IP地址的映照解析工作。DNS采取颠倒的树状构造,散布式、分层级的主机名管理构造。
DNS查询分成递归查询和迭代查询,递归查询表现查询要求方发出要求后,吸收方会通过屡次查询,终究把对应的成果回复给要求方(多涌现在客户主机到本地DNS服务器之间);迭代查询表现查询要求方发出要求后,吸收方的本地数据库中无对应信息,则告之要求方要向根名称服务器查询,然后再一级一级向下查询,这样查询要求方经过屡次自主查询后才会得到成果(多涌现在本地DNS服务器和处于其层次之上的其它多个DNS服务器之间)。
DNS服务器类型有:(1)主名称服务器,存储并保护所管辖区域的域构造信息,并供给准确查询主机名和IP的对应关系。(2)从名称服务器,它从主名称服务器同步域构造信息,也能供给准确查询,但它不去更新保护域构造信息。(3)缓存名称服务,缓存查询过的域信息,用于答复以后雷同的查询要求。其内域信息设置过期时光,它可以供给迅速查询但不是准确查询,由于其上的信息可能会过期。
搭建DNS主从服务器。假定主DNS服务器IP为192.168.1.100,从DNS服务器IP为192.168.1.101
(1)登录主DNS服务器和从DNS服务器上安装DNS服务器软件
root用户履行 yum install bind
(2)然后修正主DNS服务器上的DNS主配置文件/etc/named.conf
options { listen-on port 53 { any; }; 监听端口和哪些主机可以拜访解析,any表现所有 directory “/var/named”; 数据库文件的目录地位 allow-query { any; }; 许可哪些主机要求查询 recursion yes; 将自己视为客户真个一种查询方法 zone “.” IN { type hint; file “named.ca”; }; zone “magedu.com” IN { type master; file “magedu.com”; allow-transfer{192.168.1.101;} 定义哪些从DNS服务器可以同步数据,多个IP之间以分号分隔,且最后以分号结尾。 } zone “1.168.192.in-addr.arpa” IN { type master; file “named.192.168.1”; allow-transfer{192.168.1.101;} }
3)修正从DNS服务器上的DNS主配置文件
options { listen-on port 53 { any; }; 监听端口和哪些主机可以拜访解析,any表现所有 directory “/var/named”; 数据库文件的目录地位 allow-query { any; }; 许可哪些主机要求查询 recursion yes; 将自己视为客户真个一种查询方法 zone “.” IN { type hint; file “named.ca”; }; zone “magedu.com” IN { type slave; 表现本机是从DNS服务器 file “slaves/magedu.com”; 表现同步后的文件放置在哪里,这是相对/var/named/目录的相对路径 masters{192.168.1.100;} 定义主服务器地址 } zone “1.168.192.in-addr.arpa” IN { type slave; file “slaves/named.192.168.1”; masters{192.168.1.100;} }
(4)修正主DNS服务器的域名的解析库文件,从DNS服务器不须要定义正向解析文件:
$TTL 86400 $ORIGIN magedu.com. @ IN SOA ns1.magedu.com. admin.magedu.com. ( 2019011301 1H 5M 1W 86400 ) @ IN NS ns1.magedu.com. @ IN NS slave.magedu.com. @ IN MX 10 mail.magedu.com. ns1 IN A 192.168.1.110 slave IN A 192.168.1.111 www IN A 192.168.1.110 ftp IN A 192.168.1.110 web IN A CNAME ftp
解释:增长了两条slave的记载。
反向解析文件:
$TTL 86400 @ IN SOA ns1.magedu.com. admin.magedu.com. ( 2019011301 1H 5M 1W 86400 ) @ IN NS ns1.magedu.com. @ IN NS slave.magedu.com. 110 IN PTR ns1.magedu.com. 111 IN PTR slave.magedu.com. 110 IN PTR www 110 IN PTR ftp 110 IN PTR web
(5)重启主DNS服务器和从DNS服务器上的named服务
# cd /var/named
(仅主DNS服务器履行)# chown named:named named.192.168.1 magedu.com
# service named restart
(6)视察
视察从DNS服务器上的解析库文件是不是进行同步,地位于/var/named目录下
视察日志文件:/var/log/messages
子域授权:
在本域名服务器上的正向解析文件定义子域
# vim /var/named/magedu.com
$TTL 86400 $ORIGIN magedu.com. @ IN SOA ns1.magedu.com. admin.magedu.com. ( 201901130 1H 5M 1W 86400 ) @ IN NS ns1.magedu.com. @ IN NS slave.magedu.com. ops.magedu.com. IN NS ns1.ops.magedu.com. 添加NS记载 @ IN MX 10 mail.magedu.com. ns1 IN A 192.168.1.110 ns1.ops.magedu.com. IN A 192.168.1.120 添加对应的A记载 slave IN A 192.168.1.111 www IN A 192.168.1.110 ftp IN A 192.168.1.110 web IN A CNAME ftp
固然子域还须要有对应的子域的解析库文件,配置格局与上级域相似。这样能力对子域进行解析。
2、简述HTTP服务,并实现基于用户的拜访掌握,虚拟主机,https
(1)HTTP服务:
HTTP是一个属于运用层的面向对象的协定,由于其简捷、迅速的方法,实用于散布式超媒体信息体系。它的重要特色以下:
(1.1)支撑客户/服务器模式
(1.2) 简略迅速:客户向服务器要求服务时,只需传送要求办法和路径,常见的要求办法有:GET、POST和HEAT。
(1.3)灵巧:HTTP许可传输任意类型的数据对象
(1.4)无衔接:限制每次衔接只处置一个要求
(1.5)无状况:HTTP协定为无状况协定。
常见的HTTP服务器为:Apache 和 Nginx
(2)实现基于用户的拜访掌握
下面以basic认证机制来实现基于用户的拜访掌握
(2.1)定义安全域
<Directory “/devops/html/“> Options None AllowOverride None AuthType Basic AuthName “Only for user who Regist before” AuthUserFile /etc/httpd/users/.htpasswd Require user user1 user2
这里表现仅许可user1和user2,且他们涌现于AuthUserFile文件中,这些用户为虚拟用户,而非体系用户
(2.2)供给用户的账号文件
应用htpasswd命令进行保护
htpasswd [OPTIONS] passwdfile userName
选项有:
-c :添加第一个用户时创立此文件
-m:以md5格局加密用户密码寄存
-s:以sha格局加密用户密码寄存
-D:删除指定用户
(2.3)组认证
<Directory “/devops/html/“> Options None AllowOverride None AuthType Basic AuthName “Only for user who Regist before” AuthUserFile /etc/httpd/users/.htpasswd AuthGroupFile /etc/httpd/users/.htgroup Require group group1 group2
然后在组文件中每行定义一个组,格局为
group1: user1 user2
group2: user3 user4
(3)实现虚拟主机:
一个物理主机可以服务于多个站点,每一个站点可以通过一个或多个虚拟主机来实现,开启虚拟主机要首先关闭Main中心主机,即要注释DocumentRoot指令。
实现虚拟主机的方法有三种:
(3.1)基于IP,要求所有的IP地址都是有效的,且能用于通讯
<VirtualHost 192.168.10.51:80> ServerName www.foo.com DocumentRoot /vhost/foo.com/htdocs/ </VirtualHost> <VirtualHost 192.168.10.61:80> ServerName www.bar.com DocumentRoot /vhost/bar.com/htdocs/ </VirtualHost>
(3.2)基于Port
<VirtualHost 192.168.10.51:80> ServerName www.foo.com DocumentRoot /vhost/foo.com/htdocs/ </VirtualHost> <VirtualHost 192.168.10.51:8080> ServerName www.bar.com DocumentRoot /vhost/bar.com/htdocs/ </VirtualHost>
(3.3) 基于FQDN
<VirtualHost 192.168.10.51:80> ServerName www.foo.com DocumentRoot /vhost/foo.com/htdocs/ </VirtualHost> <VirtualHost 192.168.10.51:80> ServerName www.bar.com DocumentRoot /vhost/bar.com/htdocs/ </VirtualHost>
(4)实现https:
https即http over ssl ,其通过https://来拜访,对应的默许拜访端口为443。注意SSL会话是基于IP地址创立,所以单IP的主机上,仅可以应用一个https虚拟主机。
(4.1)为服务器申请数字证书
创立私有CA
#openssl genrsa -out rootkey.pem 2048 #openssl req -new -key rootkey.pem -out root.csr #openssl x509 -req -days 365 -extensions v3_ca -signkey rootkey.pem -in root.csr -out root.crt
创立服务器证书密钥
openssl genrsa -out serverkey.pem 2048
在服务器创立证书签订要求
openssl req -new -key serverkey.pem -out server.csr
CA签证
openssl x509 -req -days 3650 -extensions v3_req -in server.csr -CA root.crt -CAkey rootkey.pem -CAcreateserial -out server.crt
(4.2)配置httpd支撑应用ssl,及应用的证书文件
yum -y install mod_ssl
配置文件:/etc/httpd/conf.d/ssl.conf
DocumentRoot
ServerName
SSLCertificateFile 服务器证书文件crt
SSLCertificateKeyFile 服务器证书密钥pem
DNS是“Domain Name System“的缩写,DNS实现了主机名到IP地址的映照解析。在网络中各主机之间是通过IP地址来通讯寻址的,但是IP地址难记,人类较容易记住的主机名,如果愿望通过主机名来进行通讯,则须要DNS来完成大批的主机名和IP地址的映照解析工作。DNS采取颠倒的树状构造,散布式、分层级的主机名管理构造。 DNS是“Domain Name S
