1. Sie benötigen zum Einrichten von DNSSEC einen Key zum Signieren Ihrer Zonendatei. Diesen erstellen Sie mit dnssec-keygen. Dieser Schlüssel muss mindestens eine RSA Signatur beinhalten. Da die Einträge aufeinanderfolgende Verweise beinhalten, ist es nach dem Signieren nicht mehr möglich unbemerkt Records zu ändern/hinzuzufügen/entfernen.
Sie benötigen jedoch einen MD5 Host-Key um Master und Slave für DNSSEC einrichten zu können. Die Varianten, dies über einen RSA/DSA Key mit Hilfe von diversen Optionen zu realisieren, funktionieren nicht.
Also erzeugen Sie bitte mit dnssec-keygen -a hmac-md5 -b 128 -n host example.com einen Hostkey. In der erzeugten xxxx.private Datei finden Sie den gemeinsam verwendbaren Schlüssel, welchen Sie in der jeweiligen /etc/named.conf hinterlegen
named.conf SERVER
key "TRANSFER" {algorithm hmac-md5; secret "AKNDeffPVhoA9fAh0f6cIg=="; };
server 192.168.0.104 {
keys { TRANSFER; };
};
named.conf SLAVE
zone "example.com" in {
type slave;
file "./slave/example.zone.signed";
masters { 192.168.0.103; };
};
key "TRANSFER" { algorithm hmac-md5; secret "AKNDeffPVhoA9fAh0f6cIg=="; };
server 192.168.0.103 {
keys { TRANSFER; };
};
2. Nun erzeugen Sie mit dnssec-keygen -a DSA -b 512 -n ZONE example.com den Schlüssel für die Zonendatei.
Auch hier werden zwei Dateien erzeugt. Den Inhalt der Key Datei pflegen Sie in Ihre Zonendatei ein und Signieren diese anschließend mit dem xxx.private.
cat K.example.com+0003+2346.key >> example.zone
dnssec-signzone -o example.com example.zone K.example.com+0003+2346.private
3. Passen Sie die /etc/named.conf des Masters an, da die signierte Datei nun den Anhang .signed erhalten hat. Gleichzeitig sollten Sie sich nun zum Transfer auf den erzeugten Host-Key berufen.
zone "example.com" in {
type master;
file "example.zone.signed";
allow-transfer { key TRANSFER; };
};
4. Bitte bedenken Sie, dass Sie die Seriennummer Ihrer Zonendatei erhöhen sollten, anderenfalls findet kein Update statt. Optional dürfen Sie dem Slave ebenfalls einen neuen Zonendateinamen verpassen (sinnvoll).
5. Starten Sie beide Server neu und werfen Sie einen Blick in die /var/log/messages oder /var/log/syslog um den Transfer zu prüfen.
EGILIA, der Spezialist für zertifiziertes IT Management Training, informiert hier über Themen wie IT Business, Arbeitsmarkt oder Fort- und Weiterbildung.
Freitag, 8. Juni 2012
DNSSEC für Master & Slave einrichten
Abonnieren
Kommentare zum Post (Atom)
Keine Kommentare:
Kommentar veröffentlichen