RHEL5.4 DNS服务器配置详解三

本节将详细介绍DNS服务器的rndc配置，实现使用rndc开启DNS的解析日志和刷新缓存，重载配置文件和关闭DNS服务器，一旦配置好了rndc，这些操作都可以在本地和远程服务器上进行。DNS服务目前算是比较安全的服务，不但进程的属主改成named用户，而且还运行在一个chroot环境中，将来关闭DNS服务还可能需要使用rndc来控制，这也可能是将来的服务器设计潮流。rndc是远程DNS服务器进程控制的英文简写，rndc的工作机制使用了/etc/rndc.key和/etc/rndc.conf两个配置文件，rndc.key文件为锁头，尽管它的名字为key; rndc.conf则是打开rndc.key锁头的对应钥匙；这两个文件可以使用rndc-confgen命令来生成，该命令采用的是对称加密算法；下面来演示下配置，演示中将使用server来控制client端的DNS服务器，rndc的控制端也可以不是dns服务器…

一：配置client端127.0.0.1上的rndc

[root@client ~]# rndc-confgen |grep -v '^#' //使用rndc-confgen命令生成rndc.key和rndc.conf
key "rndckey" {
algorithm hmac-md5;
secret "q2yvOY2JiyUU2aV4qahzAw==";
};

options {
default-key "rndckey";
default-client 127.0.0.1;
default-port 953;
};

[root@client ~]# rm -rf /etc/rndc.key         //删除默认的rndc.key文件
[root@client ~]# cd /var/named/chroot/etc/
[root@client etc]# cat rndc.key         //将前面rndc-confgen命令生成的“key”一节中的内容写到rndc.key文件中
key "rndckey" {
algorithm hmac-md5;
secret "q2yvOY2JiyUU2aV4qahzAw==";
};

[root@client etc]# chown named.named rndc.key                   //修改文件属主属组主为named
[root@client etc]# ln -s /var/named/chroot/etc/rndc.key /etc/   //符号链接至/etc目录下
[root@client etc]# cat /etc/rndc.conf     //将前面rndc-confgen命令生成的全部内容写到rndc.key文件中
key "rndckey" {
algorithm hmac-md5;
secret "q2yvOY2JiyUU2aV4qahzAw==";
};

options {
default-key "rndckey";
default-client 127.0.0.1;
default-port 953;
};

[root@client etc]# chown named.named /etc/rndc.conf   //修改文件属主属组主为named
[root@client etc]# cat /etc/named.conf
options {
listen-on port 53 { 192.168.100.20; };
directory       "/var/named";

allow-query     { any; };
allow-transfer {192.168.100.254;};
};

};
include "/etc/named.rfc1912.zones";
include "/etc/rndc.key";    //包含前面定义好的锁头文件

controls {
inet 127.0.0.1 port 953 allow { 127.0.0.1; } keys { "rndckey"; }; //允许本机的环回接口使用/etc/rndc.conf文件中rndckey