請(qǐng)教dns!有關(guān)于密碼的問(wèn)題!

2020-06-13 12:47:41

字體：大中小

來(lái)源：轉(zhuǎn)載

供稿：網(wǎng)友

小弟一直以來(lái)都在尋找關(guān)于DNS配置，無(wú)奈很多資料都是過(guò)時(shí)的，特別關(guān)于KEY和RNDC的部分。這次用的文檔是本站一篇：“BIND9的配置”。只做到這一部分就出錯(cuò)了：

在bind9.1.1中,碰到的主要問(wèn)題就是ndc不能使用.ndc可以在本地控制bind的stop,start,reload等.

在9.1.0以上中,取消了ndc,代之以rndc,顧名思義,rndc是支持遠(yuǎn)程控制的ndc,這必須使用密碼跟bind通訊.

rndc一直不能工作,調(diào)了1天多,終于搞定,英文不好害死人呀.下面以紅帽子7.0為例介紹一下過(guò)程.

具體的編譯以及安裝過(guò)程這里就不寫了,請(qǐng)參考bind8的文檔.

密碼放在/etc/rndc.conf里面.方法如下:

用dnssec-keygen 產(chǎn)生一段密碼.使用如下命令:

dns-keygen -a hmac-md5 -b 192 -n HOST rndc

生成2個(gè)文件 Krndc.xxxx.key 和Krndc.xxxx.private

將Kmykey.xxxx.private里面的1個(gè)key串復(fù)制下來(lái).做成如下1個(gè)小節(jié)

key “mykey”{

algorithm "hmac-md5";

secret "I+JTxIv4gmczZmTIrQCjOAqkIK1SeWHY";

};

分別放進(jìn)etc/rndc.conf和/etc/named.conf文件的最后.

在rndc.conf中如此調(diào)用:

server localhost{

key “mykey”;

};

在named.conf中如此調(diào)用:

controls {

inet 127.0.0.1 allow {localhost;} keys {“mykey”;};

};

然后重啟 named進(jìn)程,

執(zhí)行rndc reload 試驗(yàn).

rndc: reload command successful!

named.conf和rndc.conf在下帖帖出!

named.conf和rndc.conf

rndc.conf的內(nèi)容如下:

* Permission to use, copy, modify, and distribute this software for any

* purpose with or without fee is hereby granted, provided that the above

* copyright notice and this permission notice appear in all copies.

* THE SOFTWARE IS PROVIDED "AS IS" AND INTERNET SOFTWARE CONSORTIUM

* DISCLAIMS ALL WARRANTIES WITH REGARD TO THIS SOFTWARE INCLUDING ALL

* IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS. IN NO EVENT SHALL

* INTERNET SOFTWARE CONSORTIUM BE LIABLE FOR ANY SPECIAL, DIRECT,

* INDIRECT, OR CONSEQUENTIAL DAMAGES OR ANY DAMAGES WHATSOEVER RESULTING

* FROM LOSS OF USE, DATA OR PROFITS, WHETHER IN AN ACTION OF CONTRACT,

* NEGLIGENCE OR OTHER TORTIOUS ACTION, ARISING OUT OF OR IN CONNECTION

* WITH THE USE OR PERFORMANCE OF THIS SOFTWARE.

/* $Id: rndc.conf,v 1.6.4.1 2001/01/09 22:32:57 bwelling Exp $ */

* Sample rndc configuration file.

options {

default-server localhost;

default-key "key";

};

server localhost {

key "mykey";

};

key "mykey" {

algorithm "hmac-md5";

secret "I+JTxIv4gmczZmTIrQCjOAqkIK1SeWHY";

};

named.conf的內(nèi)容如下:

// generated by named-bootconf.pl

options {

directory "/var/named";

* If there is a firewall between you and nameservers you want

* to talk to, you might need to uncomment the query-source

* directive below. Previous versions of BIND always asked

* questions using port 53, but BIND 8.1 uses an unprivileged

* port by default.

// query-source address * port 53;

};

// a caching only nameserver config

controls {

inet 127.0.0.1 allow { localhost; } keys { "mykey"; };

};

zone "." IN {

type hint;

file "named.ca";

};

zone "localhost" IN {

type master;

file "localhost.zone";

allow-update { none; };

};

zone "0.0.127.in-addr.arpa" IN {

type master;

file "named.local";

allow-update { none; };

};

include "/etc/rndc.key";

key "mykey" {

algorithm "hmac-md5";

secret "I+JTxIv4gmczZmTIrQCjOAqkIK1SeWHY";

};

問(wèn)題!

在生成KEY的過(guò)程中，我發(fā)現(xiàn)本機(jī)上生成的KEY與文中不同(在用命令時(shí)看到)，但找不到這生成的兩個(gè)文件在哪里，搜也搜得死機(jī)，還請(qǐng)告訴我：是用本機(jī)生成的，還是用文中的就行了呢?要是用本機(jī)生成的，應(yīng)在哪里找到?

我的目的是僅僅是能正常使用rndc!

如題

Re: 沒(méi)有高手來(lái)說(shuō)說(shuō)?「空」

Re: 請(qǐng)教dns!有關(guān)于密碼的問(wèn)題!

BIND 9的配置一文所使用的方法應(yīng)該是沒(méi)錯(cuò)的，問(wèn)題可能出在你的應(yīng)用環(huán)境和文中環(huán)境不一致，所以建議你最好能夠描述一下你做配置的具體環(huán)境。

riser 兄你好!

riser 兄你好!我是在RH7.2上做DNS的，其他的就沒(méi)什么不同了，如果說(shuō)其他的，我還真說(shuō)不上來(lái)，不過(guò)那個(gè)問(wèn)題：

請(qǐng)順道回答一個(gè)好嗎?謝謝!

riser老兄請(qǐng)看!

應(yīng)該在當(dāng)前目錄，例如/root

雖然我找到此文件，但是我已經(jīng)按照論壇上的方法以及redhat的doc的方法實(shí)驗(yàn)了n+10之巨。去沒(méi)有一次成功，前一段時(shí)間是出現(xiàn)認(rèn)證錯(cuò)誤，現(xiàn)在我用RH7.3，卻是connect refused.于是我便自己下載了BIND9.2.1，自己編譯安裝，再試，仍舊不行，為什么，為什么?

但是我發(fā)現(xiàn)了一個(gè)奇怪的現(xiàn)象，我用

#named -u named 啟動(dòng)named,域名服務(wù)開(kāi)始，然后再用rndc reload,沒(méi)有任何提示便過(guò)去了，當(dāng)我kill掉named，再用rndc reload,再次出現(xiàn)connect refuse.

既然能夠用named -u named啟動(dòng)域名服務(wù)，那rndc有何用，如何保證其安全。我感覺(jué)好像我用rndc reload是沒(méi)有使用配置文件的權(quán)限，但是我是root。

why?請(qǐng)riser老兄和其他各位高手賜教。

Re: riser老兄請(qǐng)看!

回應(yīng):

--------------------------------------------------------------------------------

但是我發(fā)現(xiàn)了一個(gè)奇怪的現(xiàn)象，我用

--------------------------------------------------------------------------------

1、rndc只能實(shí)現(xiàn)reload、stop、dumpdb、status等功能。這一點(diǎn)你簡(jiǎn)單地輸入rndc命令就會(huì)得到提示。

2、既然你已經(jīng)把named給kill了，還談什么rndc reload?當(dāng)然是connection refused。rndc只是個(gè)方便對(duì)named進(jìn)行操作的工具，就像ndc一樣，只不過(guò)加了個(gè)安全性認(rèn)證，并能實(shí)現(xiàn)遠(yuǎn)程操作。

我按照前面的帖子中的方法一次就成功了，勸你還是再認(rèn)真檢查一下。

順道回復(fù)燕十三兄，注意紅色部分：

options {

default-server localhost;

default-key "key";

};

server localhost {

key "mykey";

};

key "mykey" {

algorithm "hmac-md5";

secret "I+JTxIv4gmczZmTIrQCjOAqkIK1SeWHY";

};

既然下面定義了mykey，上面為什么還是key?

Re: riser 兄你好!

如果你用的是RH 7.2，那它的默認(rèn)配置的確有些問(wèn)題，主要是其默認(rèn)安裝的配置文件對(duì)key的定義前后不一致，這一點(diǎn)你仔細(xì)檢查一下配置文件就知道了。所以，一般只要修改使之一致，就可以正常地使用rndc。

可是我已經(jīng)修改到一致了，只是好像看到一個(gè)rndc.key的文件，其中有些東西，是否該用它?

對(duì)于兄弟的細(xì)心，小弟實(shí)在是佩服，不過(guò)這一點(diǎn)文中沒(méi)有提到，所以·····

小弟實(shí)在漢顏，因?yàn)樵赪IN下，馬上下線去試，謝謝!

問(wèn)題已經(jīng)解決，是小弟不細(xì)心，麻煩各位了!

可是，可是可是!

可是各位絕對(duì)想不到，本來(lái)已經(jīng)可以用了，但關(guān)機(jī)再開(kāi)機(jī)，又出現(xiàn)了連接被拒絕的情況，像上次一樣，我可是什么也沒(méi)做啊，只是重啟了一下機(jī)器，怎么辦?

Re: 可是，可是可是!

ps -A | grep named

看一看named起來(lái)了沒(méi)有，如果沒(méi)有，用

/etc/rc.d/init.d/named start

啟動(dòng)它再試，

如果起來(lái)以后還是這樣，那就再仔細(xì)仔細(xì)地檢查配置文件，包括/etc/named.conf、/etc/rndc.conf。

另，其實(shí)如果是僅僅讓rndc能使用的話，你只要把你的原先默認(rèn)的/etc/named.conf、/etc/rndc.conf中使用的key的名字全部改為rndckey，再檢查一下/etc/目錄下是否有/etc/rndckey文件就可以工作了，很簡(jiǎn)單，安全不需要你自己生成key。

上一篇：用init玩轉(zhuǎn) Linux 運(yùn)行級(jí)別

下一篇：使用Apache&花生殼架設(shè)Web服務(wù)器