背景:
阅读新闻
DNS主辅同步(TSIG) 加密
[日期:2013-02-24] 来源:Linux社区 作者:baochenggood [字体:]
DNS主辅同步(TSIG) 加密
1TSIG: Transaction Signatures
使用共享钥匙进行加密(shared symmetric key)
(1) 是一个安全的访问控制机制。
(2) 保护信息在传输的过程中不会被改变。
要求:时间必须是准确的。
2.加密工具使用 dnsssec-kengen
要求:两台机器必须有一样的key且key名字必须一样
数据只会传输给有key的机器
3.实验环境:(CentOS 6.0)
主dns:192.168.10.15
辅dns:192.168.10.11
4.主dns配置:
yum install bind bind-chroot -y
service named restar
cd /var/named/chroot/etc/
dnssec-keygen -a HMAC-MD5 -b 128 -n HOST server120-station #生成key
vim cheng.example.key #将生成的key写到secret的地方
key "server120-station" { #注意:这里写的是生成key的名字
algorithm hmac-md5;
secret "ejzKuhKarv5U+Wv3YCiW7w=="; #将生成的key复制到此处
};
chmod 640 cheng.example.com.key #更改权限
chmod root.named cheng.example.com.key #更改所属组所有者
主配置文件的配置:
注意:主dns与辅助dns时间必须同步。
vim /var/named/chroot/etc/named.conf
include "/etc/cheng.example.com.key"; #定义key
options {
listen-on port 53 { any; };
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { any; };
recursion yes;
allow-transfer { key server120-station ; }; # 定义有key的主机才用
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
zone "." IN {
type hint;
file "named.ca";
};
include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
zone "cheng.com" IN {
type master;
file "cheng.com";
allow-update { none; };
};
zone "10.168.192.in-addr.arpa" IN {
type master;
file "cheng.local";
allow-update { none; };
};
这里正反向文件就略去了
相关资讯 DNS
本文评论 查看全部评论 (0)
尊重网上道德,遵守中华人民共和国的各项有关法律法规 承担一切因您的行为而直接或间接导致的民事或刑事法律责任 本站管理人员有权保留或删除其管辖留言中的任意内容 本站有权在网站内转载或引用您的评论 参与本评论即表明您已经阅读并接受上述条款
评论声明
最新资讯