Linux Services and Security–part1

一、詳細描述一次加密通訊的過程，結合圖示最佳

以Bob和Alice安全通訊為例：

Bob<———>Alice

1. Bob要和Alice安全通信首先要取得對方的公鑰，即對方的證書，并驗證證書的合法性。驗證過程和內容：

1）、用CA的公鑰（雙方已知）解密對方證書中CA的簽名；能解密說明證書來原可靠；

2）、用證書中標記的“簽名算法”來計算證書的相關信息，并將散列計算的結果與證書“發行者簽名”解密的結果（證書特征碼）進行比較，如果一致說明證書完整性可靠；

3）、檢查證書的有效期限是否在合法范圍內，防止證書過期；

4）、驗證證書的“主體名稱”和預通信的人是否對應；

5）、檢查證書是否被吊銷；

以上驗證成功則說明對方證書可靠，并信任該證書。

2. 取得對方證書（即公鑰）后進行如下操作：

加密：

1)、Bob對明文數據進行散列計算，提取出數據指紋（特征碼，也叫信息摘要）；

2)、Bob使用自己的私鑰對該數據指紋進行加密，生成數字簽名，并將該數字簽名附加在明文數據之后；

3)、Bob使用一個一次性的對稱加密算法密鑰對明文和數字簽名進行加密，生成密文；

4)、Bob再使用Alice的公鑰對對稱加密算法的密鑰進行加密，生成數字信封；

5)、Bob將密文和數字信封打包發送給Alice；

解密：

1)、Alice收到數據（密文+數字信封）后，使用自己的私鑰解密數字信封，得到對稱加密算法的密鑰；

2)、使用對稱加密密鑰解密密文，得到明文數據和數字簽名。保證了數據的私密性；

3)、使用Bob的公鑰解密數字簽名，得到明文的數據指紋（特征碼）。如果能解出，說明數據為Bob發送，保證了數據的不可否認性；

4)、Alice使用同樣的散列算法對明文計算得出數據指紋（特征碼），并與Bob計算的數據指紋進行比對，如果一致，說明數據沒有被篡改。保證的數據的完整性；

二、描述創建私有CA的過程，以及為客戶端發來的證書請求進行辦法證書。

在CA服務器上操作：

1.創建所需要的文件

#?cd?/etc/pki/CA/

#?touch ./{serial,index.txt}

#?echo?01?>?serial

2.創建CA私鑰

#?(umask?077;?openssl?genrsa?-out /etc/pki/CA/private/cakey.pem?2048)

Generating?RSA?private?key,?2048?bit?long?modulus

…………………………….+++

……………………………………………+++

e?is?65537?(0x10001)

3.生成CA自簽證書

# openssl req -new -x509 -key /etc/pki/CAprivate/cakey.pem -out /etc/pki/CA/pkcacert.pem -days 365

You?are?about?to?be?asked?to?enter?information?that?will?be?incorporated

into?your?certificate?request.

What?you?are?about?to?enter?is?what?is?called?a?Distinguished?Name?or?a?DN.

There?are?quite?a?few?fields?but?you?can?leave?some?blank

For?some?fields?there?will?be?a?default?value,

If?you?enter?‘.’,?the?field?will?be?left?blank.

—–

Country?Name?(2?letter?code)?[XX]:CN

State?or?Province?Name?(full?name)?[]:guangdong

Locality?Name?(eg,?city)?[Default?City]:guangzhou

Organization?Name?(eg,?company)?[Default?Company?Ltd]:gjj

Organizational?Unit?Name?(eg,?section)?[]:Ops

Common?Name?(eg,?your?name?or?your?server’s?hostname)?[]:ca.gjj.com

Email?Address?[]:caadmin@gjj.com

4.在httpd服務器上操作

1).創建生成私鑰文件

#?mkdir?/etc/httpd/ssl

#?cd?/etc/httpd/ssl/

#?(umask?077;?openssl?genrsa?-out?/etc/httpd/ssl/httpd.key?1024)

Generating?RSA?private?key,?1024?bit?long?modulus

…………++++++

.++++++

e?is?65537?(0x10001)

2).生成一個證書請求

#?openssl?req?-new?-key?httpd.key?-out?httpd.csr?-days?365

You?are?about?to?be?asked?to?enter?information?that?will?be?incorporated

into?your?certificate?request.

What?you?are?about?to?enter?is?what?is?called?a?Distinguished?Name?or?a?DN.

There?are?quite?a?few?fields?but?you?can?leave?some?blank

For?some?fields?there?will?be?a?default?value,

If?you?enter?‘.’,?the?field?will?be?left?blank.

—–

Country?Name?(2?letter?code)?[XX]:CN

State?or?Province?Name?(full?name)?[]:guangdong

Locality?Name?(eg,?city)?[Default?City]:guangzhou

Organization?Name?(eg,?company)?[Default?Company?Ltd]:gjj

Organizational?Unit?Name?(eg,?section)?[]:Ops

Common?Name?(eg,?your?name?or?your?server’s?hostname)?[]:ca.gjj.com

Email?Address?[]:caadmin@gjj.com

Please?enter?the?following?‘extra’?attributes

to?be?sent?with?your?certificate?request

A?challenge?password?[]:

An?optional?company?name?[]:

3).將請求文件傳給CA服務器??地址為：192.168.4.240

# scp httpd.csr root@192.168.4.240:/tmp

5.在CA服務器操作

1).對HTTP服務器的公鑰證書進行認證

#?openssl?ca?-in?/tmp/httpd.csr?-out?/tmp/httpd.crt?-days?365

Using configuration from /etc/pki/tls/openssl.cnf

Check that the request matches the signature

Signature ok

Certificate Details:

Serial Number: 1 (0x1)

Validity

Not Before: Oct 16 11:27:50 2017 GMT

Not After : Oct 16 11:27:50 2018 GMT

Subject:

countryName? ? ? ? ? ? ? = CN

stateOrProvinceName? ? ? = guangdong

organizationName? ? ? ? ? = gjj

organizationalUnitName? ? = Ops

commonName? ? ? ? ? ? ? ? = ca.gjj.com

emailAddress? ? ? ? ? ? ? = caadmin@gjj.com

X509v3 extensions:

X509v3 Basic Constraints:

CA:FALSE

Netscape Comment:

OpenSSL Generated Certificate

X509v3 Subject Key Identifier:

AC:88:6E:C4:96:57:BE:1C:9D:7E:18:E5:00:D9:A2:C8:76:7E:55:E1

X509v3 Authority Key Identifier:

keyid:CC:2F:CA:A2:2A:F9:3A:25:08:A5:46:DB:6A:35:14:44:10:58:35:F7

Certificate is to be certified until Oct 16 11:27:50 2018 GMT (365 days)

Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y

Write out database with 1 new entries

Data Base Updated

2).將簽署過的證書發到請求證書的httpd服務器，地址：192.168.4.241

# scp /tmp/httpd.crt root@192.168.4.241:/etc/httpd/ssl/

3).查看證書簽發的內容：

#?openssl?x509?-in?/etc/httpd/ssl/httpd.crt?-noout?–text

Certificate:

Data:

Version: 3 (0x2)

Serial Number: 1 (0x1)

Signature Algorithm: sha256WithRSAEncryption

Issuer: C=CN, ST=guangdong, L=guangdong, O=gjj, OU=Ops, CN=ca.gjj.com/emailAddress=caadmin@gjj.com

Validity

Not Before: Oct 16 11:27:50 2017 GMT

Not After : Oct 16 11:27:50 2018 GMT

Subject: C=CN, ST=guangdong, O=gjj, OU=Ops, CN=ca.gjj.com/emailAddress=caadmin@gjj.com

Subject Public Key Info:

Public Key Algorithm: rsaEncryption

Public-Key: (1024 bit)

Modulus:

00:be:ea:e8:83:08:da:4c:b7:f4:f6:24:52:d8:dc:

c2:df:ee:75:8a:0a:5e:c5:d2:43:e8:0f:2e:3d:76:

5b:2f:b5:a1:46:20:4c:90:54:37:f4:c4:20:d6:76:

1e:ba:b3:ec:a5:28:73:ff:be:11:24:48:64:28:2e:

76:66:d1:7a:4d:d7:22:35:da:ca:fa:9a:a3:02:9d:

70:2a:65:61:1a:82:ed:17:f3:ef:62:a3:b1:1c:d2:

28:08:55:e7:11:3c:eb:1a:d2:29:45:c3:a6:e2:da:

e2:9c:be:c0:2e:15:f6:53:ff:95:23:e1:90:ae:e4:

22:1f:55:63:a4:f6:bb:4a:a1

Exponent: 65537 (0x10001)

X509v3 extensions:

X509v3 Basic Constraints:

CA:FALSE

Netscape Comment:

OpenSSL Generated Certificate

X509v3 Subject Key Identifier:

AC:88:6E:C4:96:57:BE:1C:9D:7E:18:E5:00:D9:A2:C8:76:7E:55:E1

X509v3 Authority Key Identifier:

keyid:CC:2F:CA:A2:2A:F9:3A:25:08:A5:46:DB:6A:35:14:44:10:58:35:F7

Signature Algorithm: sha256WithRSAEncryption

a0:94:c7:5f:41:db:07:b0:7c:a1:35:ae:bd:cb:c1:e3:37:ef:

f8:66:45:f6:7a:ce:a3:96:4e:c9:81:ee:fa:15:60:05:6d:0d:

61:96:98:7e:fb:d3:57:c2:85:50:e1:4b:e8:35:bf:c2:d4:c9:

84:90:db:b1:3e:e1:b1:9e:d8:3f:f6:1a:90:12:9e:cb:af:f4:

02:3a:e9:d5:b1:5b:66:13:29:1f:6a:4c:eb:28:e9:cc:58:12:

2d:76:e8:74:5e:75:d9:f0:ba:bc:aa:49:ba:07:2d:f7:0e:d5:

a1:2b:e2:6a:62:ee:4b:b5:15:4c:1e:56:ea:e6:c6:fd:82:dc:

6f:c8:d4:f8:ed:91:d6:9a:c3:6a:9e:11:12:08:7a:b0:5d:2e:

f5:a5:1a:a1:2f:80:2d:a9:e2:e0:45:eb:78:93:e2:26:7a:24:

86:6d:e6:9c:30:28:84:37:72:17:3e:94:8f:14:d3:a8:c3:b9:

5d:1f:25:cb:36:5d:5b:67:5e:d1:a6:4f:9f:74:21:06:f4:a3:

bb:31:88:e9:d0:fe:46:14:ff:82:30:c2:d4:5a:2f:9b:cf:15:

aa:ed:9d:80:e9:6c:62:8c:d0:dc:fe:0a:16:20:11:90:d1:f0:

89:44:b5:34:f7:86:d2:2e:c8:4a:2f:20:93:62:a6:8c:45:f1:

f0:f1:c0:4a

三、描述DNS查詢過程以及DNS服務器類別

1.DNS的查詢過程

Client –> hosts文件 –> DNS Service –> Local Cache

–> DNS Server (recursion) –> Server Cache –> iteration(迭代)

2.在瀏覽器中輸入www.qq.com域名，操作系統會先檢查自己本地的hosts文件是否有這個網址映射關系，如果有，就先調用這個IP地址映射，完成域名解析。

3.如果hosts里沒有這個域名的映射，則查找本地DNS解析器緩存，是否有這個網址映射關系，如果有，直接返回，完成域名解析。

4.如果hosts與本地DNS解析器緩存都沒有相應的網址映射關系，首先會找TCP/ip參數中設置的首選DNS服務器，在此我們叫它本地DNS服務器，此服務器收到查詢時，如果要查詢的域名，包含在本地配置區域資源中，則返回解析結果給客戶機，完成域名解析，此解析具有權威性。

5.如果要查詢的域名，不由本地DNS服務器區域解析，但該服務器已緩存了此網址映射關系，則調用這個IP地址映射，完成域名解析，此解析不具有權威性。

6.如果本地DNS服務器本地區域文件與緩存解析都失效，則根據本地DNS服務器的設置（是否設置轉發器）進行查詢，如果未用轉發模式，本地DNS就把請求發至13臺根DNS，根DNS服務器收到請求后會判斷這個域名(.com)是誰來授權管理，并會返回一個負責該頂級域名服務器的一個IP。本地DNS服務器收到IP信息后，將會聯系負責.com域的這臺服務器。這臺負責.com域的服務器收到請求后，如果自己無法解析，它就會找一個管理.com域的下一級DNS服務器地址(qq.com)給本地DNS服務器。當本地DNS服務器收到這個地址后，就會找qq.com域服務器，重復上面的動作，進行查詢，直至找到www.qq.com主機。

7.如果用的是轉發模式，此DNS服務器就會把請求轉發至上一級DNS服務器，由上一級服務器進行解析，上一級服務器如果不能解析，或找根DNS或把轉請求轉至上上級，以此循環。不管是本地DNS服務器用是是轉發，還是根提示，最后都是把結果返回給本地DNS服務器，由此DNS服務器再返回給客戶機。

8.從客戶端到本地DNS服務器是屬于遞歸查詢，而DNS服務器之間就是的交互查詢就是迭代查詢。

9.DNS服務器的類型：

主DNS服務器:維護所負責解析的域內解析庫服務器

輔助DNS服務器：從主DNS服務器或其他從DNS服務器復制一份解析庫

緩存DNS服務器：為客戶端緩存DNS的記錄，緩存DNS中沒有的執行迭代查詢

轉發器：DNS記錄不在自己負責的解析域內，轉發器去迭代查詢

四、搭建一套DNS服務器，負責解析magedu.com域名（自行設定主機名及IP）

(1)、能夠對一些主機名進行正向解析和逆向解析；

(2)、對子域cdn.magedu.com進行子域授權，子域負責解析對應子域中的主機名；

(3)、為了保證DNS服務系統的高可用性，請設計一套方案，并寫出詳細的實施過程

環境:

主DNS服務器：192.168.0.11

從DNS服務器：192.168.0.21

子域DNS服務器：192.168.0.12

******1. 正反向解析******

1).安裝DNS服務器軟件

~]# yum install bind* -y

2).編輯配置，添加magedu.com的正向域和反向域

~]# vim /etc/named.conf

options {

listen-on port 53 { any; };

allow-query? ? { any; };

.

.

.

dnssec-enable no;

dnssec-validation no;

dnssec-lookaside no;

.

.

.

zone “magedu.com” IN {

type master;

file “magedu.com.zone”;

};

zone “0.168.192.in-addr.arpa” IN {

type master;

file “named.192.168.0”;

};

.

.

.

3).創建正向域數據庫文件

~]# vim /var/named/magedu.com.zone

$TTL 86400

$ORIGIN magedu.com.

@? ? ? IN? ? ? ? ? SOA? ? ? ? ns1.magedu.com? ? ? ? ? dnsadmin.magedu.com.? ? (

2017032001

1H

10M

3D

1D? )

IN? ? ? ? ? NS? ? ? ? ? ns1

ns1? ? IN? ? ? ? ? A? ? ? ? ? 192.168.0.11

www? ? IN? ? ? ? ? A? ? ? ? ? 192.168.0.11

bbs? ? IN? ? ? ? ? A? ? ? ? ? 192.168.0.12

4).創建反向域數據庫文件

~]# vim /var/named/named.192.168.0

$TTL 86400

$ORIGIN 0.168.192.in-addr.arpa.

@? ? ? IN? ? ? ? ? SOA? ? ? ? ns1.magedu.com? ? ? ? ? dnsadmin.magedu.com.? ? (

2017032001

1H

10M

3D

1D? )

IN? ? ? ? ? NS? ? ? ? ? ns1.magedu.com.

11? ? ? IN? ? ? ? ? PTR? ? ? ? ns1.magedu.com.

11? ? ? IN? ? ? ? ? PTR? ? ? ? www.magedu.com.

12? ? ? IN? ? ? ? ? PTR? ? ? ? bbs.magedu.com.

5).修改數據庫文件權限

]# chown root.named magedu.com.zone named.192.168.0

]# chmod 640 magedu.com.zone named.192.168.0

6).配置和語法檢查

]# named-checkconf

]# named-checkzone magedu.com /var/named/magedu.com.zone

zone magedu.com/IN: loaded serial 2017032001

OK

]# named-checkzone? 0.168.192.in-addr.arpa /var/named/named.192.168.0

zone 0.168.192.in-addr.arpa/IN: loaded serial 2017032001

OK

7).重載配置文件和域數據庫文件

]# systemctl reload named.service

8).結果驗證

]# dig -t A bbs.magedu.com

; <<>> DiG 9.9.4-RedHat-9.9.4-38.el7_3.2 <<>> -t A bbs.magedu.com

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12637

;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2

;; OPT PSEUDOSECTION:

; EDNS: version: 0, flags:; udp: 4096

;; QUESTION SECTION:

;bbs.magedu.com.? ? ? ? ? ? ? ? ? ? ? ? IN? ? ? A

;; ANSWER SECTION:

bbs.magedu.com.? ? ? ? 86400? IN? ? ? A? ? ? 192.168.0.12? ? ? ? ? ? #能正確解析到bbs.magedu.com

;; AUTHORITY SECTION:

magedu.com.? ? ? ? ? ? 86400? IN? ? ? NS? ? ? ns1.magedu.com.

;; ADDITIONAL SECTION:

ns1.magedu.com.? ? ? ? 86400? IN? ? ? A? ? ? 192.168.0.11

;; Query time: 0 msec

;; SERVER: 127.0.0.1#53(127.0.0.1)

;; WHEN: Sun Mar 19 21:39:00 EDT 2017

;; MSG SIZE? rcvd: 93

]# dig -x 192.168.0.12

; <<>> DiG 9.9.4-RedHat-9.9.4-38.el7_3.2 <<>> -x 192.168.0.12

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6916

;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2

;; OPT PSEUDOSECTION:

; EDNS: version: 0, flags:; udp: 4096

;; QUESTION SECTION:

;12.0.168.192.in-addr.arpa.? ? IN? ? ? PTR

;; ANSWER SECTION:

12.0.168.192.in-addr.arpa. 86400 IN? ? PTR? ? bbs.magedu.com.? ? ? #能正確反解析

;; AUTHORITY SECTION:

0.168.192.in-addr.arpa. 86400? IN? ? ? NS? ? ? ns1.magedu.com.

;; ADDITIONAL SECTION:

ns1.magedu.com.? ? ? ? 86400? IN? ? ? A? ? ? 192.168.0.11

;; Query time: 0 msec

;; SERVER: 127.0.0.1#53(127.0.0.1)

;; WHEN: Sun Mar 19 21:39:31 EDT 2017

;; MSG SIZE? rcvd: 116

******2. 子域授權******

9).在子域DNS服務器配置文件中添加下列配置

]# vim /etc/named.rfc1912.zones

.

.

.

zone “cdn.magedu.com” IN {

type master;

file “cdn.magedu.com.zone”;

};

zone “magedu.com” IN {

type forward;

forward only;

forwarders { 192.168.0.11; };

};

10).在子域DNS服務器上創建域數據庫文件

]# vim cdn.magedu.com.zone

$TTL 3600

$ORIGIN cdn.magedu.com.

@? ? ? IN? ? ? SOA? ? ns1.cdn.magedu.com.? ? nsadmin.cdn.magedu.com. (

2017032001

1H

10M

1D

2H? )

IN? ? ? NS? ? ? ns1

ns1? ? IN? ? ? A? ? ? 192.168.0.12

www? ? IN? ? ? A? ? ? 192.168.0.13

11).修改域數據庫文件權限

]# chmod 640 cdn.magedu.com.zone

]# chown root.named cdn.magedu.com.zone

12).配置和語法檢查

]# named-checkconf

]# named-checkzone cdn.magedu.com /var/named/cdn.magedu.com.zone

zone cdn.magedu.com/IN: loaded serial 2017032001

OK

13）在父域DNS的域數據庫文件中添加子域DNS的相關信息

]# vim /var/named/magedu.com.zone

.

.

.

cdn? ? IN? ? ? ? ? NS? ? ? ? ? ns1.cdn

ns1.cdn IN? ? ? ? ? A? ? ? ? ? 192.168.0.12

14).重載子域DNS和父域DNS的配置和域數據庫文件

]# rndc reload

server reload successful

15).結果驗證

]# dig -t A www.cdn.magedu.com @192.168.0.11? ? ? ? ? #通過父域進行解析

; <<>> DiG 9.9.4-RedHat-9.9.4-38.el7_3.2 <<>> -t A www.cdn.magedu.com @192.168.0.11

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 50092

;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2

;; OPT PSEUDOSECTION:

; EDNS: version: 0, flags:; udp: 4096

;; QUESTION SECTION:

;www.cdn.magedu.com.? ? ? ? ? ? IN? ? ? A

;; ANSWER SECTION:

www.cdn.magedu.com.? ? 3150? ? IN? ? ? A? ? ? 192.168.0.13? ? ? ? ? #解析到子域www服務器，說明子域授權成功

;; AUTHORITY SECTION:

cdn.magedu.com.? ? ? ? 3150? ? IN? ? ? NS? ? ? ns1.cdn.magedu.com.

;; ADDITIONAL SECTION:

ns1.cdn.magedu.com.? ? 3150? ? IN? ? ? A? ? ? 192.168.0.12

;; Query time: 3 msec

;; SERVER: 192.168.0.11#53(192.168.0.11)

;; WHEN: Mon Mar 20 09:53:23 EDT 2017

;; MSG SIZE? rcvd: 97

******3. 主從同步******

16).在從DNS服務器的配置文件中添加下列配置：

~]# vim /etc/named.conf

options {

listen-on port 53 { any; };

allow-query? ? { any; };

.

.

.

zone “magedu.com” IN {

type slave;

file “slaves/magedu.com.zone”;

masters { 192.168.0.11; };

};

17).在主DNS服務上修改配置文件，允許從服務器與主服務器同步

]# vim /etc/named.conf

zone “magedu.com” IN {

type master;

file “magedu.com.zone”;

allow-transfer { 192.168.0.21; };

};

18).在主DNS服務器上的域數據庫文件中添加從DNS服務器的相關信息

]# vim /var/named/magedu.com.zone

.

.

.

IN? ? ? ? ? NS? ? ? ? ? slave

slave? IN? ? ? ? ? A? ? ? ? ? 192.168.0.21

.

.

.

19).重載主從服務器上的配置

]# rndc reload

server reload successful

20).主從同步測試

]# vim magedu.com.zone

$TTL 86400

$ORIGIN magedu.com.

@? ? ? IN? ? ? ? ? SOA? ? ? ? ns1.magedu.com? ? ? ? ? dnsadmin.magedu.com.? ? (

2017032002? ? ? ? ? #每更改一次序列號要加1

1H

10M

3D

1D? )

IN? ? ? ? ? NS? ? ? ? ? ns1

IN? ? ? ? ? NS? ? ? ? ? slave

slave? IN? ? ? ? ? A? ? ? ? ? 192.168.0.21

ns1? ? IN? ? ? ? ? A? ? ? ? ? 192.168.0.11

www? ? IN? ? ? ? ? A? ? ? ? ? 192.168.0.11

bbs? ? IN? ? ? ? ? A? ? ? ? ? 192.168.0.12

cdn? ? IN? ? ? ? ? NS? ? ? ? ? ns1.cdn

ns1.cdn IN? ? ? ? ? A? ? ? ? ? 192.168.0.12

blog? ? IN? ? ? ? ? A? ? ? ? ? 192.168.0.14? ? ? ? ? ? ? #新添加一個條目

]# rndc reload? ? ? ? ? ? ? ? ? ? #重載配置生效

server reload successful

#在從DNS服務器上觀察系統日志，發現已經有同步信息

]# tail -f /var/log/messages

Mar 19 21:37:06 centos6 named-sdb[4223]: zone magedu.com/IN: transferred serial 2017032002

Mar 19 21:37:06 centos6 named-sdb[4223]: transfer of ‘magedu.com/IN’ from 192.168.0.11#53: Transfer completed: 1 messages, 11 records, 293 bytes, 0.005 secs (58600 bytes/sec)

Mar 19 21:37:06 centos6 named-sdb[4223]: zone magedu.com/IN: sending notifies (serial 2017032002)

]# cd /var/named/slaves/

]# cat magedu.com.zone

$ORIGIN .

$TTL 86400? ? ? ; 1 day

magedu.com? ? ? ? ? ? ? IN SOA? ns1.magedu.com.magedu.com. dnsadmin.magedu.com. (

2017032002 ; serial

3600? ? ? ; refresh (1 hour)

600? ? ? ? ; retry (10 minutes)

259200? ? ; expire (3 days)

86400? ? ? ; minimum (1 day)

)

NS? ? ? ns1.magedu.com.

NS? ? ? slave.magedu.com.

$ORIGIN magedu.com.

bbs? ? ? ? ? ? ? ? ? ? A? ? ? 192.168.0.12

blog? ? ? ? ? ? ? ? ? ? A? ? ? 192.168.0.14? ? ? ? ? ? #主DNS上新增的條目已經同步過來了

ns1? ? ? ? ? ? ? ? ? ? A? ? ? 192.168.0.11

ops? ? ? ? ? ? ? ? ? ? NS? ? ? ns1.ops

$ORIGIN ops.magedu.com.

ns1? ? ? ? ? ? ? ? ? ? A? ? ? 192.168.0.12

$ORIGIN magedu.com.

slave? ? ? ? ? ? ? ? ? A? ? ? 192.168.0.21

www? ? ? ? ? ? ? ? ? ? A? ? ? 192.168.0.11