我是一个想学习如何设置 DNS 域名服务器的新手。我应该使用 djbdns、BIND 还是其他什么?
当前的网络要求包括子域支持、SSL 和邮件服务,所有这些都需要非常小的流量。我想要一个解决方案,有朝一日可以扩展到更重的流量和可能更棘手的要求(如负载平衡)。此时我会在 Linux 上运行。
我读到 BIND 如果配置不当会出现安全问题,并且其配置可能很棘手。我还读到 djbdns 更容易配置,更安全,并且相当于重负载。djbdns 的论点似乎有道理,但我没有专业知识来正确评估它们。如果 BIND 更好,我会很感激讨论 djbdns 的那些声明。
谢谢。
djbdns/tinydns 是否支持大TXT记录,例如在提供长 DKIM 密钥时?
我知道 RFC 4408 第 3.1.3 节和 RFC 1035 第 3.3.14 节:
https://www.rfc-editor.org/rfc/rfc4408#section-3.1.3
https://www.rfc-editor.org/rfc/rfc1035#section-3.3.14
两者都表明TXT可以将一条记录拆分为多个字符串,以允许提供长(> 255 个字符)记录。
我在研究过程中也遇到了这个问题:
https://serverfault.com/questions/255580/how-do-i-enter-a-strong-long-dkim-key-into-dns
我尝试了接受的答案中提到的两种方法,带或不带括号。
但 djbdns 拒绝正确提供这些记录。例如,当使用查询我的域名密钥记录时,nslookup我得到:
mail03._domainkey.zygonia.net text =
""v=DKIM1; k=rsa; p=" "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA7UNgSlnndT9JY0soSjxLhFFnvAeVN8b6Y3oKctAunNltMjvXfTD37doER8a9xwEOIXkGPgxJ5UPb/KndvHiIo+j8AScoIZCW"
"glFWp4AUoKlQkKP7o7vwFnWypU+DmcJAtyuhZ9X5yzag37cVR"
"YD4icd02yAETLbIpv1mnMUFkTnkdmtSa5gL2cLUueUOValoENwkWTcZR" "+kraTEU/VDPI"
"RgNBu6OJmQdk0sv4qdkwVVvxvquT4C/SimQDoDaQwlFCp2sBryXyaNSRCaAhRxPaKUpKsPmubW0SJF2nQZ3DprJQcaRQLd9Qgxz+V+XaseaXXWPy+6"
"tB6BlPFk5FwIDAQAB""
*** Error: record size incorrect (515 != 419)
*** ns0.example.net can't find mail03._domainkey.zygonia.net: Unspecified error
这是一个 DKIMTXT记录,如下所示:
"v=DKIM1; k=rsa; p=" "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA7UNgSlnndT9JY0soSjxLhFFnvAeVN8b6Y3oKctAunNltMjvXfTD37doER8a9xwEOIXkGPgxJ5UPb/KndvHiIo+j8AScoIZCW1glFWp4AUoKlQkKP7o7vwFnWypU+DmcJAtyuhZ9X5yzag37cVRGYD4icd02yAETLbIpv1mnMUFkTnkdmtSa5gL2cLUueUOValoENwkWTcZR" "+kraTEU/VDPIrRgNBu6OJmQdk0sv4qdkwVVvxvquT4C/SimQDoDaQwlFCp2sBryXyaNSRCaAhRxPaKUpKsPmubW0SJF2nQZ3DprJQcaRQLd9Qgxz+V+XaseaXXWPy+6rtB6BlPFk5FwIDAQAB"
原始 djbdns 数据记录如下所示:
:mail03._domainkey.zygonia.net:16:\642"v=DKIM1;\040k=rsa;\040p="\040"MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA7UNgSlnndT9JY0soSjxLhFFnvAeVN8b6Y3oKctAunNltMjvXfTD37doER8a9xwEOIXkGPgxJ5UPb\057KndvHiIo+j8AScoIZCW1glFWp4AUoKlQkKP7o7vwFnWypU+DmcJAtyuhZ9X5yzag37cVRGYD4icd02yAETLbIpv1mnMUFkTnkdmtSa5gL2cLUueUOValoENwkWTcZR"\040"+kraTEU\057VDPIrRgNBu6OJmQdk0sv4qdkwVVvxvquT4C\057SimQDoDaQwlFCp2sBryXyaNSRCaAhRxPaKUpKsPmubW0SJF2nQZ3DprJQcaRQLd9Qgxz+V+XaseaXXWPy+6rtB6BlPFk5FwIDAQAB":600
TXT当涉及到长记录时,djbdns 会失败吗?
我正在开发一个应用程序,该应用程序将用于验证新域在设置托管时是否正确配置。这部分会检查 SPF、DomainKey、DKIM 记录等的有效性。
我目前对大多数这些记录使用一小时的默认 TTL。偶尔会在其中一条记录中发现错误,因此需要对其进行更新。目前,如果我刚刚测试了域,我必须等待系统解析器的缓存记录过期,然后才能验证我的应用程序是否正确。(是的,我可以手动检查,但我编写了应用程序,所以我不必这样做)。
我想在系统上设置一个 DNS 服务器来充当普通的缓存解析器,除了它会在最长设置时间内(例如五分钟)使记录过期,或者根本不缓存。并非所有域都在我的普通名称服务器上托管 DNS,因此该系统必须查询域的权威名称服务器,而不是使用上游解析器(只会使用它们的缓存记录)。
这台机器当前没有运行任何类型的 DNS,所以我可以安装 BIND 或 djbdns(如果有好的建议,也可以安装其他东西。
花了 6 个小时将 djbdns(tinydns + dnscache)设置为辅助名称服务器。我设法拼凑了一个可行的解决方案,但我很困惑为什么它不能开箱即用。
主要和次要名称服务器都位于 Cisco ASA 后面,外部 IP 会通过 NAT 连接到适当的内部子网,在这种情况下,名称服务器是 DMZ。
主 NS 由 Plesk 类型的 CP 运行,因此 djbdns 配置都是 GUI,并且运行良好。现在,在我发现二级域名服务器托管的敲诈勒索之前,我一直在考虑将这项任务交给 3rd 方。不,谢谢,trop cher 为此免费。无论如何,您自己的时间:让一个文件服务器坐在 colo 机架上什么都不做,让我们开始工作吧。
按照本教程:
http://www.howtoforge.com/clean-djbdns-dns-server-on-centos-dnscache-and-tinydns-a-to-z
我把所有东西都安装好了;但是,没有任何效果,或者至少只针对 localhost 进行了挖掘。我需要 dig@dmz-ip foo.com 来解决。
不知道有什么更好的,我破解了 dnscache 和 tindns env/IP 文件,将它们反转,所以 tinydns 在 localhost 上监听 dmz 和 dnscache。重新启动服务和瞧,能够从远程笔记本电脑挖掘到辅助名称服务器 IP 并解析我们托管的域,太棒了。
所以,我想,好吧,我应该正确地做这件事,把所有东西都吹走,重新安装,并设置 tinydns 来监听 localhost 上的 dmz 和 dnscache(就像我在手动破解 env/IP 文件时所做的那样)。试图挖掘@localhost foo.com, nada; dig@dmz-ip foo.com 也是一样。跆拳道?是的,wtf。在 Noob 模式下,我在 localhost 上尝试了 tindyns,无论是在 dmz 上,还是在 dmz 等上,都没有任何效果。
最后,我在 dmz …