Безопасная передача DNS зон
Метки: BIND | DNS
Четверг, 28 января 2010 г.
Просмотров: 9879
Подписаться на комментарии по RSS
Устанавливаем bind-chroot на оба сервера:
# yum install bind-chroot
Выполняем следующую команду на Primary DNS сервере
# dnssec-keygen -a HMAC-MD5 -b 128 -n HOST master-slave Kmaster-slave.+157+50029
В результате получаем имя файла, содержащего наш новый ключ: в этом примере это Kmaster-slave.+157+50029.private. Номер это алгоритм DNSSEC (157=HMACMD5), и отпечаток ключа (50029).
Из ключа Kmaster-slave+157.50029.private извлекаем наш обший ключ:
# cat Kmaster-slave+157.50029.private Private-key-format: v1.2 Algorithm: 157 (HMAC_MD5) Key: axdafafFTdafaCSDF090DSDs==
Здесь ключ это axdafafFTdafaCSDF090DSDs==; у вас данное значение будет отличаться. Данное значение нам понадобиться в дальнейшем.
На обоих серверах создайте новый файл с именем /var/named/chroot/etc/transfer.key и следующим содержимым:
key "master-slave." { algorithm hmac-md5; secret "axdafafFTdafaCSDF090DSDs=="; };
Защитите содержимое данного файла, чтобы только демон named мог читать из него и только root писать:
# chown root:named /var/named/chroot/etc/transfer.key # chmod 640 /var/named/chroot/etc/transfer.key # ln -s /var/named/chroot/etc/transfer.key /etc/transfer.key
На обоих серверах добавьте в самый верх файла /var/named/chroot/etc/named.conf следующую строку:
include "/etc/transfer.key";
На slave сервере запретите передачу зон отовсюду.
options { allow-transfer { none; };
Добавьте в named.conf вторичного сервера следующие строки:
include "/etc/transfer.key"; server 208.67.222.22 { keys { master-slave.; }; };
На основном сервере измените опции относящиеся к передаче зоны следующим образом:
# vi /etc/named.conf
include "/etc/transfer.key"; options { listen-on port 53 { 127.0.0.1; 192.168.1.1; 208.67.222.22; }; listen-on-v6 port 53 { ::1; }; directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt"; query-source port 53; query-source-v6 port 53; allow-query { localhost; any; }; allow-transfer { key master-slave.; }; allow-notify { 208.67.222.23; }; version "Bind"; };
Теперь перегрузите оба сервера.
Это интересно:
Качественное и недорогое обучение за рубежом английскому языку. Очень полезный ресурс для изучающих английский язык - интересные статьи, подбор языковых школ за рубежом.
Еще записи по теме
- Таблица MAC адресов популярных платформ виртуализации
- RDP через SSH порт 443
- 10 примеров использования команды Ping
- Распространение беспроводных настроек с помощью netsh и групповых политик
- Сетевая статистика TCP / UDP и информация о используемых сокетах в Linux: команда ss
- Добавляем IPv6 адрес в DNS
- Управление пропускной способностью сетевого интерфейса в Windows
Оставьте комментарий!