1、4、使用命令创建chroot目录,假定目录为/root/chroot/o如图2T所示。rootlocalhost src# mkjailenv /root/chroot/mkjailenvA component of Jail (version1.9 for 1 inux)http:/www、gsyc、inf、uc3m、es/assman/jai1/Juan 仁 Casillas Making chrooted environment into /root/chroot/ Doing preinstall ()Doing special devices()Doing gen template_
2、password()Doing post install ()Done 图 2T 建立 chroot 牢笼”目录5、 为牢笼”添加dhcpd程序。如图2-2所示。rootlocalhost chroot# addjailsw /root/chroot/2 为牢宠添加 dhcpd程序6、 将dhcpd的相关文件复制到牢宠”的相关目录中,目录结构如下:#mkdirp /chroot/dhcp/var/state/dhcp# touch /chroot/dhcp/var/state/dhcp/dhcp、 leases7、重启dhcpd,进行测试。(1)使用命令ps检查dhcpd进程,如图2-3所示。
3、rootlocalhost 、# /root/chroot/usr/sbin/dhcpdlnternet SystemsConsortium DHCP Server V3、0、5-RedHatCopyrigh12004-xx Internet Systems Consortium. All rights reserved . For info, please visit http:/ww、 isc、 org/sw/dhcp/WARNING: Host declarations are globalThey are not limited to the scope you declared th
4、em in、Wrote 0 deleted host decls to leases file、Wrote 0 new dynamic host decls to leases file. Wrote 1 leases to leases file、 Listening on LPF/ethO/OO:0c:29:la:8d:4a/192、168、 10/24Sending on LPF/ethO/OO:4a/l68、10/24Sending on Socket/fallback/fallback-netrootlocalhostps3在“牢笼”中的dhcpd进程启动及查看(2)客户端wir)d
5、ows7系统获得的 IP地址如图2-4所示。图2-4客户端获取IP地址示意图任务2安全的DNS服 务器配置(4学时)安全管理需求DNS服务是当前网络中非常重要的服务,它 实现了 IP地址与域名的转换,使得人们能通过简单好记的域名来代替IP地址访 问网络。因此髙效管理及使用DNS服务器是网络管理员的一个非常重要的问题。任务描述配置DNS服务器并利用DNS提供的chroot机制实现安全的DNS 服务。使用辅助域名服务器实现冗余备份,与DHCP服务器配合实现DDNS功能。 拓扑图如下所示(图2-5)0 LAN2: 168、20、 0/24FQDN: dns1、 gdsspt、 netIP:120、
6、5DNS:10、 4GATEWAY:20、 254 LAN1:10、 0/24FQDN: dns、 gdsspt. netIP:10、 4DNS:10、254因特网图2-5网络实现DNS与DHCP拓扑图图2-5中,LAN1中配置 了一台DHCP服务器和一台DNS服务器,LAN2中一台辅助DNS服务器并启动DHCP 中继代理。要求如下:1、 LAN1和LAN2内客户端自动获取IP地址、子网掩码、默认网关及DNS 后缀(gdsspt、net )o LAN1可用地址为110、 20110、100 和 110、 120110、250, LAN2可用IP地址为120、 20120、 250。2、 网络的
7、主DNS服务器为110、4,为了提高网段120、0/24DNS客户端的解析速度需要dns1、gdsspt. net中建立一个辅助区域。3、 网络需要向内网及外网客户端提供web服务、邮件服务的名称解析,内 网用户访问www、gdsspt、net及ma订、gdsspt、net被DNS解析为110、4,外网用户访问 www、gdsspt. net 及 ma 订、gdsspt、net 被 DMS 解析 为 202、 103、 0、 10o4、 由于客户端数量众多所以需要使用DDTS,减轻DNS的维护工作量。5、 内网用户可以通过本地的DNS服务解析到公网的FQDNo1、在主机 dns、gdssptx
8、 net 和 dns1、 gdsspt、net上安装DHCP服务。(注:主机名的修改需要在 /etc/sysconf ig/network 和/etc/hosts 中进行)2、 在主机 dns、gdsspt、net 和 dns1、gdsspt、net 上安装 DNS 组件。CentOS5、6提供的组件如下:bindTibs-9、 3、 6-16、P1, el5bind1、 el5bind-chroot-1、 el5bind-utils-1、 el5caching-nameserver-1、el5、x8664、rpm (非必需的,BIND配置例子,如果对BIND比较熟悉,可以不安装 该组件。)3
9、、 开启DNS服务器的路由功能,使用如下命令完成。echol /proc/sys/net/ipv4/ip_forward4、 为了更好地显示编辑的当前目录信息(提示符信息),可以修改PS1变量的选项,通过修改文件/etc/bashrc,将里面的”$PS1 ” = ”s-v$ & PSl=Kuh W$ 下的大写的W改成小写的w (表示完整显示目录信息)。 重新进入系统即可显示当前完整的编辑目录。类似于如下图(图2-6)所示: rootlocalhost cd /var/named/chroot/rootlocalhost/var/named/chroot#图26完整显示当前编辑目录示意图5、 在
10、dns、gdsspt net主机上创建DDNS密钥,通过cat查看并记下生成 的密钥注:TSIG (Transaction Signature,事务签名)使用加密验证DNS信 息。TSIG是以加密算法的方式,认证DNS服务器之间的数据传输。首先必须在 主要区域所在服务器上生成加密证书,之后将此证书传递给辅助区域所在服务 器,经过配置后由辅助区域所在服务器以加密方式送往主要区域所在服务器的区 域传输请求。同时提供加密的DDNSo TSIG功能确认DNS之信息是由某特定DNS 服务器提供,并且大多数应用于DNS之间区域传输,确保辅助区域从主要区域复 制得到的数据不会由其他假的DNS服务器提供或被篡
11、改截取。使用命令 dnssec-keygen可以产生加密密钥(该命令的详细内容可参见其帮助文档)。女口图2-7所示。rootdns # cd /var/named/chroot/rootdns /var/named/chroot# dnsseckeygenMD5n USER gdssptdnsKgdssptdns. +157+33084 图 2-7 为 DDNS 创建密钥示意图6、 在dns、gdsspt、net主机上创建TSIG密钥,用于主机区域DMS传送, 通过cat查看并记下生成的密钥。如图2-8所示。rootdns # cd /var/named/chroot/rootdns/var/
12、named/chroot#dnssec-keygenMD5n HOST rndc-key Krndc-key 、+ 157+60882图2-8为主机客户端创建密钥示意图7、 在 dns、gdsspt、net 上使用/usr/share/doc/dhcp-3、Ox 5/dhcpd. con、sample 覆盖/etc/dhcpd. conf,并修改其内容。如 图 2-9 所示。ddns-update-style interim; ignore client-updates;option domain-name gdsspt. net,r;key gdssptdns algorithm hmac-
13、md5; secret ()4gItWAab+aWoBjm9C7Fqw=;:zone gdsspt. net、 primaryl10、 4; key gdssptdns;zone10、168、192、 in-addr. arpa primaryl20、192. in-addr. arpa primarylshared-network gdsspt subnet!10、 0 netmask255、255、 0 option routersl10、 254; option subnet-mask255、 0; option domain-name-serversi10、 4,120、5; opti
14、on time-offsetbootp110、 20110、 100; range dynamic-bootpl10、 120110、250; default-lease-time21600; maxTease-time43200; subnet 120、 0 netmask255、0 option routers 120、 254; option domain-name-serversl20、 5,1 option time-offsetbootpl20、 20120、 250; max-lease-time43200; 图 2-9 dhcpd配置文件设置示意图8、在dns、gdsspt.
15、net上配置BIND全局配置文件。(1)复制全局配置文 件模板,使用命令:cp - p /var/namedchroot/etc/named. caching-nameserver、 conf named、conf (2)修改 named, conf 文件,內容如图 2T0 所示。options listen-on port53 any; ; listen-on-v6 port53 : : 1 ; ; directory /var/named”; dump-file *7 var/named/data/cachedump 、 db;statistics-file h/var/named/dat
16、a/namedstats、 txt”; memstatistics-file/var/named/data/named mem stats 、 txt”; query-source port53; query-source-v6 port53; al low-query any; #202、103、24、 68 is ISPs DNS Server、 forwarders 202、 103、24、 68; forward first;key gdsspttransfer algorithm hmac-md5; secret4iWdKDIHv5108I5Wp9LMLA=;serverl20、5
17、keys gdsspttransfer; ; key gdssptdns algorithm hmac-md5; secret 04gItWAab+aWoBjm9C7Fqw=;) ; logging channel default_debug file data/named 、 runH: severity dynamic;view gdsspt LANresolver match-clients 110. 0/16; match-destinations any; recursion yes; include /etc/named lan 、 zones:view gdsspt WANres
18、olver match-clients any; include ,r/etc/named wan. zones图 2T0 named. conf 文件配置示意图9、在dns、gdsspt. net上配置BIND主配置文件(1)复制主配置文件模 板。cp - p /var/named/chroot/etc/named. rfcl912、zones named lan. zonescp - p /var/named/chroot/etc/named、rfcl912、zones named wanzones (2)修改添加 named lan. zones 文件,内容 如图 211 所示。zone
19、 gdsspt. netn IN type master; file Mgdsspt. net、 lan zero”; allow-update key gdssptdns; allow-transfer key gdsspttransfer;zone 92. in-addr. arpar IN type master; file 92、 local92、in-addr. arpaf IN type master;92. local; al low-update key gdssptdns; al low-transfer key gdsspttransfer;图2T1主配置文件示意图(1)
20、(3)修改添加named wan, zones 文件,内容如图 2T2 所示。gdsspt、net IN type master;gdsspt、net、wan zero; al low-update none; ;图 212 主配置文件 示意图(2)10、在dns、gdsspt. net上配置BIND区域文件。(1)复制正向解析及反向 解析文件模板,命令如下所示 cp - p /var/named/chroot/var/named/named. zero gdsspt. net、lan. zerocp - p /var/named/chroot/var/named/named. zero gd
21、sspt、net、wan、zerocp - p /var/named/chroot/var/named/nanied. local92、 localcp - p /var/named/chroot/var/named/named. local92、local (2)修改文件 gdsspt、net、lan. zero,如图 2-13 所示$TTL86400 IN SOA dns、gdsspt、net. root、gdsspt、net. (42 ; serial (d、 adams)3H ; refresh15M ; retrylW ; expirylD )minimum IN NS dns. g
22、dsspt、net. IN MX 10 dns、gdsspt、net. dns INA110、 4www IN CNAME dns、gdsspt、net. mail IN CNAME dns. gdsspt、net. 图2T3正向区域文件配置(1) (3)修改文件gdsspt、net、wan、zero,如图 2T4 所示。$TTL86400 IN SOA dns. gdsspt. net. root、gdsspt. net、(42;mini mum IN NS dns、gdsspt. net. IN MX 10 dns、gdsspt、n et、dns IN A202、103、0、lOwww I
23、NCNAME dnsgdsspt、net. mail INCNAME dns、gdsspt、 net、图2-14正向区域文件配置(2) (4)修改文件92、local,如图 2-15 所示。$TTL86400 IN SOA dns. gdsspt. net、root gdsspt、 net. (1997022700 ; Serial28800 ; Refreshl4400 ; Retry3600000 ; Expire86400 )Minimum IN NS dns、gdsspt. net、4 IN PTR dns、gdsspt、net、图 2-15 反向区域文件配置(1)(5)修改文件92、
24、local,如图 2-16 所示。$TTL86400 IN SOA dns、gdsspt、net、root、 gdsspt、net、 (1997022700 ; Refresh 14400 ;Minimum IN NS dns、gdsspt、net、图 2T6 反向区域文件配置(2)11、 在 dns、gdsspt. net 上修改/var/named/chroot/var/named 系统权限。命令如 F: chownnameserver. conf named. conf (2)修改 namedconf 文件, 如图 2T7 所示。options listen-on port53 any; listen-on-v6 port53 : 1; directory w/var/named dump-file ,r/var/named/data/cache_dump db statistics-file H/var/named/data/named stats 、 txtmemstatistics-file H/var/named/data/named mem stats、txt”; query-sourcev6 port53; allow-query any;logging channel default_debug file Kdata/named
