DNS的重要性不言而喻,有太多的服务都离不开DNS,有很多基于DNS的攻击,比如DNS欺骗之类的,黑客一旦获取了DNS的zone文件,就可以获得服务器的很多信息。如果主辅DNS服务器之间不做安全验证措施,很容易被其他主机和黑客从中间获得DNS服务器的记录。主配置文件里提供了allow-transfer的选项,可以将它的值设置为辅助DNS服务器的IP。这样虽然能做到一定程度的安全保护,但是依旧是明文传输,假设一个黑客将自己伪装为192.168.1.9,还是可以获得主DNS服务器的记录。因此我们要用一种加密的方式来实现区域传输。这种加密方式叫做TSIG,一种对称加密方式。下面我们介绍一种基于TSIG的DNS,可以保障主从DNS之间的复制安全性,并且可以保证黑客无法获得zone文件。TSIG可以保证zone文件在传输过程中没有被篡改,并且还能保证那些主机允许接受zone文件。
Transaction signatures (TSIG) 通常是一种确保DNS消息安全,并提供安全的服务器与服务器之间通讯(通常是在主从服务器之间)的机制。TSIG可以保护以下类型的DNS服务器:
·Zone转换
·Notify
·动态升级更新
·递归查询邮件
TSIG适用于BIND v8.2及以上版本。TSIG使用共享秘密和单向散列函数来验证的DNS信息。 TSIG是易于使用的轻便解析器和命名机制。
工作原理
1、每个域名服务器增加了一个TSIG记录DNS服务器间的查询和信息的数据块
2、TSIG中记录了DNS消息签名,证明该邮件发件人与收件人共有一个共享密钥,并且在消息发送后不可被修改。
3、TSIG使用单向散列函数来验证身份和判断数据完整性。
先说一下我的环境,和刚才配置的环境一样,还是station1作为主DNS,station2作为辅助DNS。
1.创建TSIG
在station1上,运行
dnssec-keygen -a HMAC-MD5 -b 128 -n HOST station1-station2
-a 用于指定算法;
-b用于指定算法的位数;
-n指定name的类型
后面的station1-station2就是TSIG的名字,当然,你也可以随便取。
效果如下
创建完之后,我们会发现目录下有两个文件,一个后缀是key,一个后缀是private。
后者的内容里面的Key这一行就是我们需要的信息。
进入/var/named/chroot/etc目录下
把rndc.key复制为xiaosu.key
文件内容修改如下:
key "station1-station2" {
algorithm hmac-md5;
secret "2Ex7xTFJOWBSQlPoiTZN5Q==";
};
也就是把第一行中的key后面修改为刚才创建的TSIG的名字,然后再把secret的内容修改为刚才Key那行的信息。
修改完之后,修改一下xiaosu.key保证named能加载这个文件,再修改一下xiaosu.key的权限保证安全。
chown root.named /var/named/chroot/etc/xiaosu.key
chmod 640 /var/named/chroot/etc/xiaosu.key
修改主DNS服务器的配置文件,加载这个key文件,并只允许拥有这个key 文件的DNS才能传输zone文件。
配置文件的开头加入
include “/etc/xiaosu.key”;
options部分加入
allow-transfer { key station1-station2 ; }
截图如下:
重启服务
下面开始配置staiton2上的从服务器
我们现测试一下现在是否能获取主DNS服务器上的zone文件,我们先删除掉slaves文件夹下的zone文件,重启服务器,看看是否能获得文件。
效果如下图:
首先我们要用SCP命令把这个key文件拷贝到station2上的相应目录,并且设置权限和属主,这个步骤就不截图了。
从DNS上要加载这个key文件,并且还要指定对于哪些服务器使用哪个key文件。
开头添加:
include “/etc/xiaosu.key”;
server 192.168.0.1 {
keys { station1-station2 ; } ;
};
当然,还有非常重要的一个设置就是,在从DNS设置为任何机器都不允许传输,否则这一些都白费了,呵呵。
也就所在options里面加入一行:
allow-transfer { none ;} ;
截图如下:
重启服务之后,会发现这两个zone文件都过来了。
这样,我们就能保证主从之间的复制是安全的
主DNS服务器配置
执行下面命令生成一个密钥:
# dnssec-keygen -a hmac-md5 -b 128 -n host server-client
-a 指定加密方式。
-b 密码长度。
-n 指定名称为server-client,类型为host。
命令执行成功之后会在当前目录下生成两个文件:
Kserver-client.+157+39898.key
Kserver-client.+157+39898.private
在/var/named/chroot/var/named/目录下创建一个文件,作为传输时使用的key文件。
# touch dns.key; chown root.named dns.key
# vi dns.key
key server-client. {
algorithm "hmac-md5";
secret "dahP9T2T/NJaEYq3rykCRw==";
};
其中secret的内容为密钥文件中的KEY值,后面会有两个等号。
注意server-client后面有一个“.”。
修改/etc/named.caching-nameserver.conf文件,在对应的view里加入如下的选项:
allow-transfer { key server-client; };
include "/var/named/dns.key";
将主DNS的dns.key文件传输到辅DNS服务器的/var/named/chroot/var/named/目录下。
# scp /var/named/chroot/var/named/dns.key 192.168.1.9:/var/named/chroot/var/named/
辅助DNS服务器的配置
修改/etc/named.caching-nameserver.conf文件,在view里加入下面的参数,
include "/var/named/dns.key";
修改/etc/named.rfc1912.zones文件,在最上面添加下面的代码:
server 192.168.1.11 {
keys { server-client.; };
};
注意server-client后面有一个“.”。
在辅助DNS服务器上测试
# dig -y server-client.:dahP9T2T/NJaEYq3rykCRw== @192.168.1.11 example.com axfr
;; Couldn't verify signature: clocks are unsynchronized
; <<>> DiG 9.3.4-P1 <<>> -y server-client. @192.168.1.11 example.com axfr
; (1 server found)
;; global options: printcmd
server-client. 0 ANY TSIG hmac-md5.sig-alg.reg.int. 1255656298 300 16 DATWIxJ7uMoFmMNkL3nGnw== 16352 BADTIME 6 AABK190q
; Transfer failed.
错误提示“Couldn't verify signature: clocks are unsynchronized”,因为主辅之间的时间相差太大了。
主DNS服务器
# date
Fri Oct 16 10:43:55 CST 2009
辅助DNS服务器
# date
Fri Oct 16 09:28:11 CST 2009
将辅助DNS服务器的时间改为和主DNS服务器一致或相近:
# date -s "10:43:60"
再次测试
# dig -y server-client.:dahP9T2T/NJaEYq3rykCRw== @192.168.1.11 example.com axfr
; <<>> DiG 9.3.4-P1 <<>> -y server-client. @192.168.1.11 example.com axfr
; (1 server found)
;; global options: printcmd
example.com. 86400 IN SOA server.example.com. root\@example.com. 42 10800 900 604800 86400
example.com. 86400 IN NS server.example.com.
client.example.com. 86400 IN A 192.168.1.9
server.example.com. 86400 IN A 192.168.1.11
example.com. 86400 IN SOA server.example.com. root\@example.com. 42 10800 900 604800 86400
server-client. 0 ANY TSIG hmac-md5.sig-alg.reg.int. 1255664540 300 16 Jm1BVMlLnI2UjtYzHEBz8w== 46958 NOERROR 0
;; Query time: 53 msec
;; SERVER: 192.168.1.11#53(192.168.1.11)
;; WHEN: Fri Oct 16 11:42:01 2009
;; XFR size: 5 records (messages 1)