DNS管理工具之rndc
阿新 • • 發佈:2019-01-06
rndc工具:
TCP/UDP 53 埠 #用於dns服務
TCP 953 埠 #用於rndc管理dns服務
主要功能: 檢查快取狀態,清空快取,查詢執行狀態詳情,重啟服務,
只支援HMAC-MD5認證演算法,在通訊兩端使用共享金鑰。rndc在連線通道
中傳送命令時,必須使用經過伺服器認可的金鑰加密。
安裝服務
yum install bind ##bind包包含rndc工具。 yum -ql bind | grep rndc ###檢視bind包是否有rndc工具
主要配置檔案
/etc/rndc.conf #客戶端祕鑰檔案
/etc/named.conf #伺服器端dns配置檔案,也是rndc被管理端配置檔案
配置rndc工具步驟
#生成祕鑰配置檔案
[[email protected] ~]# rndc-confgen -r /dev/urandom
#檔案內容如下
# Start of rndc.conf
key "rndc-key" {
algorithm hmac-md5;
secret "Fc5bZH4Rt7LFw7mB2T4eTw=="; #客戶端祕鑰
};
options {
default -key "rndc-key"; #祕鑰名
default-server 127.0.0.1; #被管理伺服器的目標IP地址
default-port 953; #連線dns伺服器的目標埠
};
# End of rndc.conf
#--------------上面鑰匙檔案,存放在管理端/etc/rndc.conf 裡
#--------------下面為鎖檔案,存放在被管理端/etc/named.conf 裡
# Use with the following in named.conf, adjusting the allow list as needed:
key "rndc-key" {
algorithm hmac-md5;
secret "Fc5bZH4Rt7LFw7mB2T4eTw=="; #伺服器祕鑰
};
controls {
inet 127.0.0.1 port 953 #伺服器監聽的ip和埠
allow { 127.0.0.1; } keys { "rndc-key"; }; #允許哪些ip連線管理本機
};
# End of named.conf
本地rndc管理方法
—– 配置本機/etc/rndc.conf(##沒有該檔案自行建立)
key "rndc-key" {
algorithm hmac-md5;
secret "Fc5bZH4Rt7LFw7mB2T4eTw=="; #客戶端祕鑰
};
options {
default-key "rndc-key"; #祕鑰名
default-server 127.0.0.1; #被管理伺服器的目標IP地址
default-port 953; #連線dns伺服器的目標埠
};
— 配置本機服務端的/etc/named.conf 追加下列資訊
key "rndc-key" {
algorithm hmac-md5;
secret "Fc5bZH4Rt7LFw7mB2T4eTw=="; #伺服器祕鑰
};
controls {
inet 127.0.0.1 port 953 #伺服器監聽的ip和埠
allow { 127.0.0.1; } keys { "rndc-key"; }; #允許哪些ip連線管理本機
};
rndc本地管理+遠端管理
——dns伺服器ip:192.168.109.134
——客戶端ip:192.168.109.136
服務端配置/etc/named.conf 追加下列資訊
key "rndc-key" {
algorithm hmac-md5;
secret "Fc5bZH4Rt7LFw7mB2T4eTw=="; #伺服器祕鑰
};
controls {
inet 192.168.109.134 port 953 #伺服器監聽的ip和埠
allow { 192.168.109.134; 192.168.109.136; } keys { "rndc-key"; }; #允許本機和遠端客戶端192.168.109.136遠端管理
};
本地客戶端配置/etc/rndc.conf
key "rndc-key" {
algorithm hmac-md5;
secret "Fc5bZH4Rt7LFw7mB2T4eTw=="; #客戶端祕鑰
};
options {
default-key "rndc-key"; #祕鑰名
default-server 192.168.109.134; #被管理伺服器的目標IP地址
default-port 953; #連線dns伺服器的目標埠
};
遠端客戶端配置/etc/rndc.conf
key "rndc-key" {
algorithm hmac-md5;
secret "Fc5bZH4Rt7LFw7mB2T4eTw=="; #客戶端祕鑰
};
options {
default-key "rndc-key"; #祕鑰名
default-server 192.168.109.134; #被管理伺服器的目標IP地址
default-port 953; #連線dns伺服器的目標埠
};
rndc 常用選項和命令
選項
-b source-address 繫結rndc客戶端使用的源地址,因為一個網絡卡可有多個地址。
-c config-file 指定連線時使用的配置檔案,而不是預設的/etc/rndc.conf。
-s server 指定要連線的伺服器的IP地址。
-p port 指定要連線的伺服器的埠。
-k key-file 指定連線時使用的金鑰檔案,而不是預設的/etc/rndc.key。
-y key-id 指定要使用的金鑰標識,必須與伺服器一致。
-v 輸出詳細的日誌資訊。
命令功能
reload #重新載入named.conf和新的域,但不會重新載入已存的域檔案。
reload zone_name #重新載入指定區域
[root@server-11 ~]# rndc -s 192.168.10.11 reload base07.com
reconfig #重讀配置檔案並載入新增的區域
querylog #關閉或開啟查詢日誌, 查詢日誌會輸出到 /var/log/message , 繁忙時,可能會瞬間增大 message
dumpdb #將快取記憶體轉儲到轉儲檔案 (named_dump.db)
freeze #暫停更新所有動態zone
freeze zone [class [view]] #暫停更新一個動態zone
flush [view] #重新整理伺服器的所有快取記憶體
flushname name #為某一檢視重新整理伺服器的快取記憶體
stats #將伺服器統計資訊寫入統計檔案中 /var/named/data/named_stats.txt
status #顯示伺服器狀態。
stop #將暫掛更新儲存到主檔案並停止伺服器
halt #停止伺服器,但不儲存暫掛更新
trace #開啟debug, debug有級別的概念,每執行一次提升一次級別
trace LEVEL #指定 debug 的級別, trace 0 表示關閉debug
notrace #將除錯級別設定為 0
restart #重新啟動伺服器(尚未實現)
addzone zone [class [view]] { zone-options } #增加一個zone
delzone zone [class [view]] #刪除一個zone