DNS BIND之dnssec安全实例配置-根节点

最新推荐文章于 2024-08-15 19:28:35 发布
原创 最新推荐文章于 2024-08-15 19:28:35 发布 · 7.2k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#DNS

本文详细介绍DNSSEC在BIND服务器上的配置步骤,包括权威服务器与递归解析服务器的设置,以及如何生成与使用签名密钥对确保DNS数据的安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

上一节我们对dnssec有了一定的认识,下面我们通过实例来说明尝试一下dnssec的配置。关于bind的安装参考:DNS BIND安装测试

环境如下

递归解析服务器:192.168.13.45

权威服务器根节点:192.168.13.103

权威服务dev节点:192.168.110.71

递归服务--->根节点(.)--->dev节点(dev.)

一、权威服务器配置

1.修改named.conf配置

key "rndc-key" {
        algorithm hmac-md5;
        secret "bRKv62iy/I7RoNNOl0dW2A==";
};

controls {
        inet 127.0.0.1 port 953
                allow { 127.0.0.1; } keys { "rndc-key"; };
};
options{
        listen-on port 53{
                192.168.13.103;
        };
        version "vdns3.0";
        directory "/var/named";
        pid-file "/var/run/named.pid";
        session-keyfile "/var/run/session.key";
        dump-file "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        rrset-order { 
                order cyclic;
        }; 
        recursion no;
        allow-query{
                any;
        };
        allow-query-cache{
                any;
        };
        allow-transfer{
                none;
        }; 
        dnssec-enable yes;
        dnssec-validation yes;
        dnssec-lookaside auto;

        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";
        managed-keys-directory "/var/named/dynamic";
};

logging { 
        channel default_debug {
                file "/var/named/data/named.run";
                severity dynamic;
        };
        channel queries_info { 
                file "/var/named/log/query.log" versions 1 size 100m; 
                severity info; 
                print-category yes; 
                print-severity yes; 
                print-time yes; 
        }; 
 
        category queries { 
                queries_info; 
                default_debug; 
        }; 
 
        channel notify_info { 
                file "/var/named/log/notify.log" versions 8 size 128m; 
                severity info; 
                print-category yes; 
                print-severity yes; 
                print-time yes; 
        }; 
 
        category notify { 
                notify_info; 
                default_debug; 
        };
        channel dnssec_debug {
                file "/var/named/log/dnssec.log" versions 1 size 100m;
                print-time yes;
                print-category yes;
                print-severity yes;
                severity debug 3;
        }; 
        category dnssec { 
                dnssec_debug; 
        };
}; 

zone "." in {
        type hint;
        file "root.zone";
};

增加开启dnssec选项,关闭递归服务。

2.dnssce配置实例
1)生成签名密钥对
# cd /var/named
首先为区(zone)文件生成密钥签名密钥KSK:
 # ~/bind/sbin/dnssec-keygen -f KSK -a RSASHA1 -b 512 -n ZONE .  #注意结尾的点别遗漏
将生成文件K.+005+62317.key和K.+005+62317.private
然后生成区签名密钥ZSK:
# ~/bind/sbin/dnssec-keygen -a RSASHA1 -b 512 -n ZONE .
将生成文件K.+005+62541.key和K.+005+62541.private
2)签名
a.签名之前将前面生成的两个公钥添加到区域配置文件末尾(root.zone)

$TTL 86400
@           IN   SOA    @       root (
                                                        12169
                                                        1m
                                                        1m
                                                        1m
                                                        1m )
.                       IN      NS      root.ns.
root.ns.        IN      A       192.168.13.103
dev.            IN      NS      ns.dev.
ns.dev.         IN      A       192.168.110.71
 
$INCLUDE "K.+005+62541.key"
$INCLUDE "K.+005+62317.key"

b.然后执行签名操作
# ~/bind/sbin/dnssec-signzone  -o  .  root.zone
上面的-o选项指定代签名区的名字. 将生成root.zone.signed
c.修改主配置文件
zone "." IN {  
        type master;  

        file "root.zone.signed";  

allow-transfer {none;};

};

检查配置是否正确:

/home/slim/bind/sbin/named-checkconf -t /home/slim/chroot/ /etc/named.conf

3.启动服务

/home/slim/bind/sbin/named -u slim -t /home/slim/chroot/ -c /etc/named.conf

二、递归解析服务器配置

1.修改named.conf配置

key "rndc-key" {
        algorithm hmac-md5;
        secret "D6ShqDKzLPtbHxko0TqgrQ==";
};

controls {
        inet 127.0.0.1 port 953
                allow { 127.0.0.1; } keys { "rndc-key"; };
};
options{
        listen-on port 53{
                192.168.13.45;
        };
        version "vdns3.0";
        directory "/var/named";
        pid-file "/var/run/named.pid";
        session-keyfile "/var/run/session.key";
        dump-file "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        rrset-order { 
                order cyclic;
        }; 
        recursion yes;
        allow-recursion {
                any;
        };
        allow-query{
                any;
        };
        allow-query-cache{
                any;
        };
        allow-transfer{
                none;
        }; 

        dnssec-enable yes;
        dnssec-validation yes;
        dnssec-lookaside auto;

        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";
        managed-keys-directory "/var/named/dynamic";
};

logging { 
        channel default_debug {
                file "/var/named/data/named.run";
                severity dynamic;
        };
        channel queries_info { 
                file "/var/named/log/query.log" versions 1 size 100m; 
                severity info; 
                print-category yes; 
                print-severity yes; 
                print-time yes; 
        }; 
 
        category queries { 
                queries_info; 
                default_debug; 
        }; 
 
        channel notify_info { 
                file "/var/named/log/notify.log" versions 8 size 128m; 
                severity info; 
                print-category yes; 
                print-severity yes; 
                print-time yes; 
        }; 
 
        category notify { 
                notify_info; 
                default_debug; 
        };
        channel dnssec_debug {
                file "/var/named/log/dnssec.log" versions 1 size 100m;
                print-time yes;
                print-category yes;
                print-severity yes;
                severity debug 3;
        }; 
        category dnssec { 
                dnssec_debug; 
        };
}; 

zone "." in {
        type hint;
        file "root.zone";
};
需开启递归服务(recursion yes;), 在末尾添加信任锚

include "/var/named/trust-anchors.conf";

2.创建“信任锚”文件
# cd /var /named

# vi trust-anchors.conf

trusted-keys {
        "." 256 3 5 "AwEAAdlhCey/l4T7PQRkBZ2uFixLCpwOdz9bgAMGbNTRApiey9On/qIu uBuEcCvArTYti944ErPPco+fcBawCmYordU=";
        "." 257 3 5 "AwEAAdQah+KmO0vMSYHtx/TxBzBjqif524nuFow5bp5Zc+pDO9tLrX3Y SrVpuddSx+utRZLVzcI3JeFQtjaBa8OfXH0=";
};

其中的密钥部分是将权威服务器生成的K.+005+62317.keyK.+005+62541.key中密钥部分拷贝过来。

3.根zone(root.zone)

$TTL 86400
@           IN   SOA    @       root (
                                                        12169
                                                        1m
                                                        1m
                                                        1m
                                                        1m )
.                       IN      NS      root.ns.
root.ns.        IN      A       192.168.13.103
配置NS指向根(“.”)的服务器地址。

4.启动服务

/home/slim/bind/sbin/named -u slim -t /home/slim/chroot/ -c /etc/named.conf

三、测试

在递归解析服务器测试。

dig @192.168.13.45  +dnssec .  NS

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.el6_6.2 <<>> @192.168.13.45 +dnssec . NS
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 362
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;.                              IN      NS

;; ANSWER SECTION:
.                       85830   IN      NS      root.ns.
.                       85830   IN      RRSIG   NS 5 0 86400 20150517041910 20150417041910 62541 . udUss1t7llZeYZAbsi8/ITPwVFAy8cB3BpyAyiVLQjRRCtKOSNS7V1H/ jzMdzJ+d62EfdC+hABrX9200Dpnung==

;; Query time: 1 msec
;; SERVER: 192.168.13.45#53(192.168.13.45)
;; WHEN: Fri Apr 17 00:25:18 2015
;; MSG SIZE  rcvd: 142
其中flags部分有ad,说明DNSSEC启用并通过验证,可以在dig添加+cdflag参数进行调试DNSSEC。
但是此时如果执行
dig @192.168.13.45  +dnssec dev. NS
查询失败或报“信任链受损”。

注意:如果要配置从服务器,只需要在options中添加添加开启dnssec选项,并删除原有的根zone,重启服务。 

运维之DNS服务器Bind9配置解析和基础示例及附带命令
WeiyiGeek 唯一极客IT知识分享
04-27 6822
0x03 Bind 配置解析 实例1.DNS主从区域传输介绍与配置 实例2.DNS区域传输限制 实例3.DNS部分二级域名解析 示例1.采用Bind建立一个A记录DNS服务器 示例2.采用Bind建立一个CNAME记录DNS服务器 示例3.采用Bind建立一个正向/反向解析DNS服务器 示例4.DNS递归迭代查询 1) 配置文件目录 2) 配置选项 3..
DNS域名解析服务实例
Fan394778945的博客
05-23 910
1:为dns服务器添加两个网卡,并按上图设置各个主机的网络桥接DNS服务器的主机名设置为ns1ns1的ens33网卡的桥接不变(NAT模式)------->内网客户机192.168.10.106(NAT模式)ns1的ens36网卡桥接到仅主机模式------>外网客户机172.16.16.106,桥接为仅主机模式2.修改网卡参数,命令”vim /etc/sysconfig/network-scripts/ifcfg-ens端口位置“修改两个网卡的IP地址两个网卡的参数如下:NAME=ens33。
bind-dnssec配置
最新发布
linggang_123的博客
08-15 1377
而所谓的分布式就是,A可以向很多很多DNS服务器发送请求,这样就会成为N多服务器攻击同一台计算机(服务器:我是冤枉的/(ㄒoㄒ)/~~)。(1)开始以为BIND的效率挺差的,但是后来真正用起来发现还是相当快的,加上功能多,真不愧是当今世界上应用最广泛的DNS服务器。说的好听一点,它是对域名进行签名认证,保证域名的完整性和正确性,不会被修改。DNSSec不能防御对DNS服务器的攻击,也不会对请求和应答的数据进行加密,甚至如果你不知道DNSSec这个东西的话,域名是不是完整正确的你也不知道。
DNS BINDdnssec安全实例配置-dev节点(dev.)
任何技能都是从模仿开始,逐步升华。
04-17 2428
上一节我们演示了根节点dnssec配置,下面我们配置dev节点的dnssec
DDNS配置实例
weixin_34234829的博客
09-01 292
linux下创建DDNS服务器 DDNS(dynaic domain name server ,动态域名服务)是客户端动态IP地址映射到一个固定的DNS服务上,客户端每次连接网络的时候会通过信息传递把该FQDN于IP地址对应关系传送给DNS服务器,DDNS需要DNS和DHCP结合起来,DHCP为客户端分配IP地址时候,可以代表DHCP客户端注册和更新该客户端在DNS...
DNSSEC 原理、配置与布署简介
syh_486_007的专栏
03-27 3192
DNSSEC 原理、配置与布署简介 Posted on May 16,2011 by Duan Haixin 作者:段海新,清华大学信息网络工程研究中心 摘要:DNSSEC是为解决DNS欺骗和缓存污染而设计的一种安全机制。本文概要介绍DNSSEC的背景、工作原理、在BIND上的配置,最后介绍国际上的布署情况和它可能对互联网安全体系的影响。 1  DNSSEC的背景和目的 域名系统(D
DNS详解以及Bind使用(二)---Bind安装、配置及使用
weixin_40864891的博客
01-08 2551
文章目录Bind概念安装安装明细配置配置文件格式dig命令 Bind 概念 Bind (berkeley internet name domain ) 由ISC 进行维护,还维护了dhcpd BindDNS协议的一种实现,是一个DNS Server程序,其守护进程名 为 named 安装 sudo yum install -y bind 安装明细 主配置文件: /etc/named.con...
DNS and Bind 第五版和Pro DNS and Bind 10
02-13
DNS and Bind》第五版与《Pro DNS and Bind 10》是DNS系统管理员和网络专业人士的必备参考资料,这两本书深入浅出地介绍了DNS(Domain Name System)与BIND(Berkeley Internet Name Domain)的原理、配置和管理。...
DNS系统管理与BIND 9.3.0:安全配置与实战指南
书中从基础概念逐步深入到全面的安全意识DNSSEC配置,详细介绍了所需的特性、参数和资源记录,并通过实例进行说明。此外,书中还包含了完整的区域文件、资源记录和BIND的named.conf配置文件参数参考,对于程序员和对...
掌握DNSBIND最新技术:从基础到安全配置
- **DNS安全扩展(DNSSEC)**:增强DNS记录的安全性,防止中间人攻击。 - **事务签名(TSIG)**:用于DNS动态更新的安全特性。 #### DNS高级功能和故障排除 - **负载均衡**:将一个域名映射到多个服务器上,实现...
BIND-DNS配置介绍
有莘不破的博客
01-02 2096
介绍BIND-DNS实操的一些常用配置内容
114服务器是否支持dnssec,bind配置一个域支持dnssec
weixin_42121725的博客
07-29 319
named.conf中options相关配置dnssec-enable yes;dnssec-validation yes;dnssec-lookaside auto;建立目录留作生成key放置[root@ddi ~]# cd /var/named/[root@ddi named]# mkdir dnssec_keyszone配置zone "mnn.com" IN {type master;fil...
UNBOUND 搭建 LDNS服务和使用bind搭建dnssec环境
DK
06-03 1562
本文章主要是针对unbound做解释。 1.首先会介绍一下dns协议。 2.了解如何配置本地域,转发域,RPZ,了解消息缓存,RRSET缓存,否定缓存等功能。 3.使用bind搭建迭代查询的环境 4.搭建dnssec
dns服务器配置
xianranruyi的博客
05-25 210
简单DNS服务器的配置命令,适合入门
<profile>中的配置项只会将根节点进行替换
xigua355的博客
06-17 163
maven的pom.xml中配置的&lt;profile&gt;会替换掉原来对应的配置项。(执行maven命令是加 -P id 才会起作用) 比如如下的pom.xml配置文件: &lt;?xml version="1.0"?&gt; &lt;project xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://mav...
dns bind 配置, 比较全的
miaomiaodmiaomiao的专栏
04-07 1658
这年头,搞个智能DNS还是很简单的,理论知识就不说了,这里把实战的步骤罗列一下,以期能对你有帮助。 1、测试机器规划 角色 操作系统 Ip地址 内存 Master Ubuntu 13.10 10.32.240.18/23 2G Slave Ubuntu 13.10 10.32.240.71/23
DNSSEC
好小葱1的博客
04-13 1271
中文入门讲解(原理\配置\部署) http://netsec.ccert.edu.cn/duanhx/?p=1479 用 BIND 搭建高可用性 DNSSEC 仅权威服务器 https://www.v2ex.com/t/143009 正规比较全面的文章: https://www.digitalocean.com/community/tutorials/how-to-setup-dnssec-
BIND9私有DNS服务器中使用DNSSEC
juneman的专栏
08-22 4681
DNSSEC是为解决DNS欺骗和缓存污染而设计的一种安全机制。本文简要描述在BIND上的DNSSEC配置
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值