======================================
主从配置:
Slave:192.168.8.12
[root@dns-s1 ~]# yum install bind -y
[root@dns-s1 ~]# vim /etc/named.conf
listen-on port 53 { any; };
allow-query { any; };
zone "bss.com" IN {
type slave;
file "slaves/bss.com.zone"; ##定义同步后域文件放置的地方,名字可自定义
masters { 192.168.8.11; }; ##指定主服务器
};
[root@dns-s1 ~]# cd /var/named/
[root@dns-s1 named]# cd slaves/
[root@dns-s1 slaves]# ls ##没有文件
[root@dns-s1 slaves]# systemctl restart named
[root@dns-s1 slaves]# ls ##发现文件同步了过来
bss.com.zone
============================================
限制服务器内容获取
Master:
[root@dns ~]# vim /etc/named.conf
20 allow-transfer { 192.168.8.12; }; ##限制哪台机器可以学习到本服务器的内容
添加此项后,则只有该IP的服务器可获取到主服务器上的内容;
但即便如此,依然不够安全,因为只限制了IP,所以,就需要使用到加密来限制。
========
加密限制
Master:
[root@dns named]# dnssec-keygen -a HMAC-MD5 -b 128 -n HOST xx
Kxx.+157+35157
[root@dns named]# cat Kxx.+157+35157.private
Private-key-format: v1.3
Algorithm: 157 (HMAC_MD5)
Key: efhMBprVq93e1HteofB64g==
Bits: AAA=
Created: 20190830024600
Publish: 20190830024600
Activate: 20190830024600
[root@dns named]# vim /etc/named.conf ##插入以下内容
44 server 192.168.8.12 {
45 keys { xx; };
46 };
47
48 key xx {
49 Algorithm hmac-md5;
50 secret efhMBprVq93e1HteofB64g==;
51 };
修改此行配置:
20 allow-transfer { key xx; };
[root@dns named]# systemctl restart named
Slave:
可以先进行以下测试:
在之前存放从master上同步过来的域文件删除掉,然后重起服务,发现现在无法同步:
[root@dns-s1 slaves]# ls
bss.com.zone
[root@dns-s1 slaves]# rm -f bss.com.zone
[root@dns-s1 slaves]# ls ##此时目录下没有文件
[root@dns-s1 slaves]# systemctl restart named
[root@dns-s1 slaves]# ls
[root@dns-s1 slaves]# ##发现无法获得域文件
[root@dns-s1 slaves]# vim /etc/named.conf ##修改配置文件
45 server 192.168.8.11 {
46 keys { xx; };
47 };
48
49 key xx {
50 Algorithm hmac-md5;
51 secret efhMBprVq93e1HteofB64g==;
52 };
[root@dns-s1 slaves]# systemctl restart named
[root@dns-s1 slaves]# ls ##此时发现文件同步
bss.com.zone