DNS主辅同步(TSIG) 加密

 

 

首页服务器应用

背景:

阅读新闻

DNS主辅同步(TSIG) 加密

[日期:2013-02-24]   来源:Linux社区  作者:baochenggood   [字体:]  

DNS主辅同步(TSIG) 加密
 1TSIG: Transaction Signatures
  使用共享钥匙进行加密(shared symmetric key)
  (1)  是一个安全的访问控制机制。
  (2)  保护信息在传输的过程中不会被改变。
  要求:时间必须是准确的。
 2.加密工具使用 dnsssec-kengen
  要求:两台机器必须有一样的key且key名字必须一样
  数据只会传输给有key的机器
 3.实验环境:(CentOS 6.0)
  主dns:192.168.10.15
  辅dns:192.168.10.11
 4.主dns配置:
 yum install bind bind-chroot -y
 service named restar
 cd /var/named/chroot/etc/
 dnssec-keygen -a HMAC-MD5 -b 128 -n HOST server120-station #生成key
 vim cheng.example.key                                      #将生成的key写到secret的地方
 key "server120-station" {                                  #注意:这里写的是生成key的名字
        algorithm hmac-md5;
        secret "ejzKuhKarv5U+Wv3YCiW7w==";                #将生成的key复制到此处
 };
 chmod 640 cheng.example.com.key        #更改权限
 chmod root.named cheng.example.com.key #更改所属组所有者
 主配置文件的配置:
    注意:主dns与辅助dns时间必须同步。
    vim /var/named/chroot/etc/named.conf
    include "/etc/cheng.example.com.key"; #定义key
    options {
        listen-on port 53 { any; };
        listen-on-v6 port 53 { ::1; };
        directory      "/var/named";
        dump-file      "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-query    { any; };
        recursion yes;
        allow-transfer { key server120-station ; };  # 定义有key的主机才用
        dnssec-enable yes;
        dnssec-validation yes;
        dnssec-lookaside auto;
        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";
        managed-keys-directory "/var/named/dynamic";
    };
    logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
    };
    zone "." IN {
        type hint;
        file "named.ca";
  };
 include "/etc/named.rfc1912.zones";
 include "/etc/named.root.key";
 zone "cheng.com" IN {
        type master;
        file "cheng.com";
        allow-update { none; };
 };
 zone "10.168.192.in-addr.arpa" IN {
        type master;
        file "cheng.local";
        allow-update { none; };
 };
 这里正反向文件就略去了

 

CentOS 5.2下安装Bind9.6

基于IP地址的vsftp服务器

相关资讯       DNS 

   

本文评论   查看全部评论 (0)


评论声明

尊重网上道德,遵守中华人民共和国的各项有关法律法规

承担一切因您的行为而直接或间接导致的民事或刑事法律责任

本站管理人员有权保留或删除其管辖留言中的任意内容

本站有权在网站内转载或引用您的评论

参与本评论即表明您已经阅读并接受上述条款

 

 

 

最新资讯

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:http://www.heiqu.com/d0727c6d65f268f27607a21eb518e005.html