DNS主輔同步（TSIG）加密

時間 2020-05-12

標籤 dns 同步 tsig 加密欄目系統網絡简体版

原文原文鏈接

DNS主輔同步（TSIG）加密

1TSIG: Transaction Signatures

使用共享鑰匙進行加密（shared symmetric key）

(1) 是一個安全的訪問控制機制。

(2) 保護信息在傳輸的過程當中不會被改變。

要求：時間必須是準確的。

2.加密工具使用 dnsssec-kengen

要求：兩臺機器必須有同樣的key且key名字必須同樣

數據只會傳輸給有key的機器

3.實驗環境：(centos 6.0)

主dns:192.168.10.15

輔dns:192.168.10.11

4.主dns配置：

yum install bind bind-chroot -y

service named restar

cd /var/named/chroot/etc/

dnssec-keygen -a HMAC-MD5 -b 128 -n HOST server120-station #生成key

vim cheng.example.key #將生成的key寫到secret的地方

key "server120-station" { #注意：這裏寫的是生成key的名字

algorithm hmac-md5;

secret "ejzKuhKarv5U+Wv3YCiW7w=="; #將生成的key複製到此處

};

chmod 640 cheng.example.com.key #更改權限

chmod root.named cheng.example.com.key #更改所屬組全部者

主配置文件的配置：

注意：主dns與輔助dns時間必須同步。

vim /var/named/chroot/etc/named.conf

include "/etc/cheng.example.com.key"; #定義key

options {

listen-on port 53 { any; };

listen-on-v6 port 53 { ::1; };

directory "/var/named";

dump-file "/var/named/data/cache_dump.db";

statistics-file "/var/named/data/named_stats.txt";

memstatistics-file "/var/named/data/named_mem_stats.txt";

allow-query { any; };

recursion yes;

allow-transfer { key server120-station ; }; # 定義有key的主機才用

dnssec-enable yes;

dnssec-validation yes;

dnssec-lookaside auto;

/* Path to ISC DLV key */

bindkeys-file "/etc/named.iscdlv.key";

managed-keys-directory "/var/named/dynamic";

};

logging {

channel default_debug {

file "data/named.run";

severity dynamic;

};

zone "." IN {

type hint;

file "named.ca";

};

include "/etc/named.rfc1912.zones";

include "/etc/named.root.key";

zone "cheng.com" IN {

type master;

file "cheng.com";

allow-update { none; };

};

zone "10.168.192.in-addr.arpa" IN {

type master;

file "cheng.local";

allow-update { none; };

};

這裏正反向文件就略去了

5.輔dns配置：

注意:主輔dns時間必須同步。

yum install bind bind-chroot -y

service named restart

vim /var/named/chroot/etc/cheng.example.key #將生成的key寫到secret的地方

key "server120-station" { #注意：這裏寫的是生成key的名字

algorithm hmac-md5;

secret "ejzKuhKarv5U+Wv3YCiW7w=="; #將主dns生成的key複製到此處，二者必須一致。

};

chmod 640 cheng.example.com.key #更改權限

chmod root.named cheng.example.com.key #更改所屬組全部者

輔助dns主文件配置：

vim /var/named/chroot/etc/named.conf

include "/etc/cheng.example.com.key"; # 定義key

options {

listen-on port 53 { any; };

listen-on-v6 port 53 { ::1; };

directory "/var/named";

dump-file "/var/named/data/cache_dump.db";

statistics-file "/var/named/data/named_stats.txt";

memstatistics-file "/var/named/data/named_mem_stats.txt";

allow-query { any; };

recursion yes;

dnssec-enable yes;

dnssec-validation yes;

dnssec-lookaside auto;

/* Path to ISC DLV key */

bindkeys-file "/etc/named.iscdlv.key";

managed-keys-directory "/var/named/dynamic";

};

logging {

channel default_debug {

file "data/named.run";

severity dynamic;

};

zone "." IN {

type hint;

file "named.ca";

};

include "/etc/named.rfc1912.zones";

include "/etc/named.root.key";

zone "cheng.com" IN {

type slave;

file "slaves/cheng.com";

masters { 192.168.10.15; };

};

zone "10.168.192.in-addr.arpa" IN {

type slave;

file "slaves/cheng.local";

masters { 192.168.10.15; };

};

server 192.168.10.15 #指定主dns的ip

{ keys { server120-station; }; #指定key

};

6. 查看系統日誌測試是否成功。

：

Feb 10 22:10:20 localhost named[27894]: client 192.168.10.12#51660: transfer of '10.168.192.in-addr.arpa/IN': AXFR started: TSIG server120-station

Feb 10 22:10:20 localhost named[27894]: client 192.168.10.12#51660: transfer of '10.168.192.in-addr.arpa/IN': AXFR ended

Feb 10 22:10:21 localhost named[27894]: client 192.168.10.12#33742: transfer of 'cheng.com/IN': AXFR started: TSIG server120-station

Feb 10 22:10:21 localhost named[27894]: client 192.168.10.12#33742: transfer of 'cheng.com/IN': AXFR ended

查看日誌文件已經同步過去，主輔dns設置成功。

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。

DNS主輔同步（TSIG） 加密

DNS主輔同步（TSIG）加密