BIND9私有DNS服务器中使用DNSSEC

最新推荐文章于 2024-01-02 09:13:54 发布
最新推荐文章于 2024-01-02 09:13:54 发布
阅读量4.3k 收藏 2
点赞数
分类专栏: DNS BIND
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/juneman/article/details/10186167
版权
DNS 同时被 2 个专栏收录
9 篇文章 0 订阅
订阅专栏
BIND
8 篇文章 1 订阅
订阅专栏

BIND9私有DNS服务器中使用DNSSEC

2013.8.22

Author: db.

 转载请注明出处:http://blog.csdn.net/juneman/article/details/10186167



1. 服务器基本配置

 

1) 主根服务器   192.168.56.101

2) 从根服务器    192.168.56.102

3) COM服务器   192.168.56.103

4) 解析服务器     192.168.56.104

 

基本配置见《BIND9私有DNS服务器 小环境搭建实验》 http://blog.csdn.net/juneman/article/details/10171815

 

2. 配置主根服务器

1) 生成签名密钥对 

    

    # cd /var/named

    

    首先为你的区(zone)文件生成密钥签名密钥KSK

dnssec-keygen -f KSK -a RSASHA1 -b 512 -n ZONE .

 

将生成文件 K.+005+09603.key 和K.+005+09603.private

然后生成区签名密钥ZSK

dnssec-keygen -a RSASHA1 -b 512 -n ZONE  . 

将生成文件 K.+005+14932.key 和 K.+005+14932.private

 

2) 签名

 

a. 签名之前将前面生成的两个公钥添加到区域配置文件末尾

 

$TTL 86400
@ IN SOA @ root (
        12169
        1m
        1m
        1m
        1m )
 
. IN NS root.ns.
root.ns. IN A 192.168.56.101
com. IN NS ns.com.
ns.com. IN A 192.168.56.103
 
$INCLUDE "K.+005+14932.key"
$INCLUDE "K.+005+09603.key"


b. 然后执行签名操作。 

dnssec-signzone  -o   db.root

     

上面的-o选项指定代签名区的名字将生成 db.root.signed. 

    

c. 修改主配置文件

  

     
 key "rndc-key" {
        algorithm hmac-md5;
        secret "wk7NzsvLaCobiCFxHB2LXQ==";
 };
 
 controls {
        inet 127.0.0.1 port 953
                allow { 127.0.0.1; } keys { "rndc-key"; };
 };
 
options {
        directory "/var/named/";
        pid-file "/var/named/named.pid";
        recursion no;
        dnssec-enable yes;
};
 
zone "." IN {
        type master;
        file "db.root.signed";
        allow-transfer {192.168.56.102;};
};

在 options 中添加 dnssec-enable yes; 以打开DNSSEC

在 zone 中修改file 以指向签名后的文件db.root.signed

重启named服务器

 

3. 配置安全的解析服务器

1) 打开named.conf, 添加如下内容

# vi named.conf

 key "rndc-key" {
        algorithm hmac-md5;
        secret "kMOStrdGYC5WmE1obk7LJg==";
 };
 
 controls {
        inet 127.0.0.1 port 953
                allow { 127.0.0.1; } keys { "rndc-key"; };
 };
 
options {
        directory "/var/named";
        pid-file "/var/run/named/named.pid";
        allow-query {any;};
        recursion yes;
        allow-recursion {any;};
        dnssec-enable yes;
 
};
 
zone "." IN {
        type hint;
        file "db.root";
};
 
include "/var/named/sec-trust-anchors.conf";

 

其中:dnssec-enable  yes;  打开DNSSEC

      include "/var/named/sec-trust-anchors.conf"; 添加信任锚

 

2) 创建“信任锚”文件

# cd /var /named

# touch sec-trust-anchors.conf

# vi sec-trust-anchors.conf

trusted-keys {
        "." 256 3 5 "AwEAAcxHPOkZULjQeyxKoY7PPhnr4q3gvSqF5QLu8eh/J675JOBatuxY 3fpIF2ZlyVfjt4SSg8JN10+FUx2iRqjlxzU=";        
        "." 257 3 5 "AwEAAeqRlSY1wkO/m1RwLY0pA/Pa0r+ld4We21MXQwrnBM+zEWUQ9LVQ rYja1SEgnyTeJwysgh/qqr71s74fD11bOLU=";
};


其中的密钥部分是将 主服务器(192.168.56.101)上生成的  K.+005+09603.key 和 

   K.+005+14932.key 中密钥部分拷贝过来.

重启named 的服务。

 

 

3) 测试 

#  dig @192.168.56.104 +dnssec . NS

   
root@simba-4:/var/named# dig @192.168.56.104 +dnssec . NS
 
; <<>> DiG 9.9.2-P1 <<>> @192.168.56.104 +dnssec . NS
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58557
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
 
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;.                              IN      NS
 
;; ANSWER SECTION:
.                       86039   IN      NS      root.ns.
.                       86039   IN      RRSIG   NS 5 0 86400 20130920155850 20130821155850 9603 . RTflmGcEwLDyjENuEvDBVM1UiuL6lS/ae3K0iBTRoRzY50MhnmXCQYEQ TNSDflG9D0TskUJNd3UqLtvS6+b28Q==
 
;; Query time: 15 msec
;; SERVER: 192.168.56.104#53(192.168.56.104)
;; WHEN: Wed Aug 21 13:26:35 2013
;; MSG SIZE  rcvd: 142

  

其中 flags 部分有 ad, 说明DNSSEC启用并通过验证。

但是此时 如果执行

# dig @192.168.56.104 +dnssec  com. NS

或报“信任链受损”。

 

 

4. 配置从根服务器 在IP192.168.56.102

1) 打开named.conf, 添加如下内容

# vi named.conf

 key "rndc-key" {
        algorithm hmac-md5;
        secret "JaHjteR5sZxVrMWWcOne9g==";
 };
 
controls {
        inet 127.0.0.1 port 953
                allow { 127.0.0.1; } keys { "rndc-key"; };
 };
 
options {
        directory "/var/named";
        pid-file "/var/run/named/named.pid";
        transfer-format many-answers;
        recursion no;
        dnssec-enable yes;
};
 
zone "." IN {
        type slave;
        file "db.root";
        masters { 192.168.56.101; };
};

 

其中: 只需要在options 中添加 dnssec-enable yes; 。

/var/named/db.root 删除, 重启服务。 

 

 

2)  测试

 

#  dig @192.168.56.102 . NS

   

 
root@simba-2:/usr/local/named/etc# dig @192.168.56.102 +dnssec . NS
 
; <<>> DiG 9.9.2-P1 <<>> @192.168.56.102 +dnssec . NS
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31463
;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 3
;; WARNING: recursion requested but not available
 
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;.                              IN      NS
 
;; ANSWER SECTION:
.                       86400   IN      NS      root.ns.
.                       86400   IN      RRSIG   NS 5 0 86400 20130920155850 20130821155850 9603 . RTflmGcEwLDyjENuEvDBVM1UiuL6lS/ae3K0iBTRoRzY50MhnmXCQYEQ TNSDflG9D0TskUJNd3UqLtvS6+b28Q==
 
;; ADDITIONAL SECTION:
root.ns.                86400   IN      A       192.168.56.101
root.ns.                86400   IN      RRSIG   A 5 2 86400 20130920155850 20130821155850 9603 . MGX976QJsdXqS/tEtYoG/CvI4v1QWkUk79XOOxyvvVqFaVz5XBuFOppz BT/5kIIGn9ebMpjIhFYhhBlYM24aqA==
 
;; Query time: 17 msec
;; SERVER: 192.168.56.102#53(192.168.56.102)
;; WHEN: Wed Aug 21 13:36:21 2013
;; MSG SIZE  rcvd: 253

# dig @192.168.56.102 com. NS

root@simba-2:/usr/local/named/etc# dig @192.168.56.102 +dnssec com. NS
 
; <<>> DiG 9.9.2-P1 <<>> @192.168.56.102 +dnssec com. NS
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 23672
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 4, ADDITIONAL: 2
;; WARNING: recursion requested but not available
 
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;com.                           IN      NS
 
;; AUTHORITY SECTION:
com.                    86400   IN      NS      ns.com.
com.                    86400   IN      DS      57139 5 2 1D84EDAD0F96E34D869B24DBE0515C7179102EAD293C8FEAF7EE9B00 8388601C
com.                    86400   IN      DS      57139 5 1 C9D1B946BDC3CB7D1D97F3FC74483C13E3DD03A0
com.                    86400   IN      RRSIG   DS 5 1 86400 20130920155850 20130821155850 9603 . y6tqd0RzoAd9Qk8iDcnOr71iordfd/J5Y/ZzMHxCjQel60pEqbxkMxLO c+nzhu810wv9AB6gCQ4JsOLJGu1uxw==
 
;; ADDITIONAL SECTION:
ns.com.                 86400   IN      A       192.168.56.103
 
;; Query time: 14 msec
;; SERVER: 192.168.56.102#53(192.168.56.102)
;; WHEN: Wed Aug 21 13:35:43 2013
;; MSG SIZE  rcvd: 244

 

 

5. 配置COM服务器 在服务器192.168.56.103

 

1)  生成签名密钥对 

    

    # cd /var/named

    

    首先为你的区(zone)文件生成密钥签名密钥KSK

dnssec-keygen -f KSK -a RSASHA1 -b 512 -n ZONE  com.

 

将生成文件 Kcom.+005+17631.key 和Kcom.+005+17631.private

然后生成区签名密钥ZSK

dnssec-keygen -a RSASHA1 -b 512 -n ZONE  com. 

将生成文件 Kcom.+005+57139.key 和 Kcom.+005+57139.private

 

2) 签名

 

d. 签名之前将前面生成的两个公钥添加到区域配置文件末尾

 

$TTL 86400
@ IN SOA @ root (
        2
        1m
        1m
        1m
        1m
)
 
com. IN NS ns.com.
ns.com. IN A 192.168.56.103
my.com. IN A 192.168.56.201
$INCLUDE "Kcom.+005+17631.key"
$INCLUDE "Kcom.+005+57139.key"

 

e. 然后执行签名操作。

dnssec-signzone  -o  com db.com

     

上面的-o选项指定代签名区的名字将生成 db.root.signed. 

    

f. 修改主配置文件


 key "rndc-key" {
        algorithm hmac-md5;
        secret "kMOStrdGYC5WmE1obk7LJg==";
 };
 
 controls {
        inet 127.0.0.1 port 953
                allow { 127.0.0.1; } keys { "rndc-key"; };
 };
 
options {
        directory "/var/named";
        pid-file "/var/run/named/named.pid";
        allow-query {any;};
        recursion no;
        dnssec-enable yes;
};
 
zone "." IN {
        type hint;
        file "db.root";
};
 
zone "com." IN {
        type master;
        file "db.com.signed";
};

     

在 options 中添加 dnssec-enable yes; 以打开DNSSEC

在 zone 中修改file 以指向签名后的文件db.com.signed

重启named服务器.

 

g.  将生成的dsset-com. 发给 主服务器。

①  在 192.168.56.103 上执行

# cd /var/named

# scp dsset-com. root@192.168.56.101:/var/named/

② 在 192.168.56.101 上执行

# cd /var/named

# vi db.root

③  在该文件末尾添加 $INCLUDE "dsset-com." 


 
  $TTL 86400
@ IN SOA @ root (
        12169
        1m
        1m
        1m
        1m )
 
. IN NS root.ns.
root.ns. IN A 192.168.56.101
com. IN NS ns.com.
ns.com. IN A 192.168.56.103
 
$INCLUDE "K.+005+14932.key"
$INCLUDE "K.+005+09603.key"
$INCLUDE "dsset-com."


 

④ 然后在 主服务器上重新对区文件进行签名

# mv db.root.signed db.root.signed.bak     

dnssec-signzone  -o   db.root

 

⑤ 重启服务.

 

6.  测试

#  dig @192.168.56.104 +dnssec my.com. A

 

root@simba-2:/usr/local/named/etc# dig @192.168.56.104 +dnssec my.com. A
 
; <<>> DiG 9.9.2-P1 <<>> @192.168.56.104 +dnssec my.com. A
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6723
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 3
 
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;my.com.                                IN      A
 
;; ANSWER SECTION:
my.com.                 84500   IN      A       192.168.56.201
my.com.                 84500   IN      RRSIG   A 5 2 86400 20130920155342 20130821155342 17631 com. Aj0rkV1M2twT7+aFcFi1k3Fej+V6AepP+bhUJFvmOo3JZPckU8S3igDp 6lfVb0aMVESkYhuTPMPneR2i3cfxrA==
 
;; AUTHORITY SECTION:
com.                    84500   IN      NS      ns.com.
com.                    84500   IN      RRSIG   NS 5 1 86400 20130920155342 20130821155342 17631 com. IKhEH7M5RR++eBT8SCljw3OVm0ghbV4i5KWFJL7fslfDmibSncUo6Qn6 vuJ3B3hFxY3VCoyaoCSoZyVQf9oxFQ==
 
;; ADDITIONAL SECTION:
ns.com.                 84500   IN      A       192.168.56.103
ns.com.                 84500   IN      RRSIG   A 5 2 86400 20130920155342 20130821155342 17631 com. oY/d3tIRWOypjxz0LWnEWK0wCfM/h5FlNTn9I5pqxJU9MiylfiwJ2Kpr JjzitCZqnkFn0gfZoOqfmK5i2pY/0A==
 
;; Query time: 23 msec
;; SERVER: 192.168.56.104#53(192.168.56.104)
;; WHEN: Wed Aug 21 13:52:14 2013
;; MSG SIZE  rcvd: 381

 

juneman
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
bind9stats:BIND9 DNS服务器的统计服务器的数据收集工具
02-05
bind9stats.py 程序从BIND9 DNS服务器的统计通道获取数据,并将其发送到某些图形和数据可视化工具。 原始程序bind9stats.py被编写为Munin的插件,并且最近已重命名为bind9stats-munin.py。 还有一个较新的版本,称为bind9stats-graphite.py,可与Graphite和Grafana一起使用bind9stats-munin.py:Munin插件 版本0.31 一个munin插件,用于以Python编写的代码从BIND9统计服务器获取数据。 在BIND 9.10、9.11和9.12的统计信息服务器导出的统计信息的第3版进行了测
基于公开网站挖掘敏感信息的研究与分析- Fofa 搜索
热门推荐
ploto_cs的博客
09-22 7万+
基于公开公开网站挖掘敏感信息的研究与分析- Fofa 搜索 一.引言 1.1项目概述 基于公开网站的敏感信息挖掘研究与分析:针对目前网络安全整体的趋势我们从google等搜索引擎、Github等代码库、FOFA等空间搜索这三个方面进行研究与分析,基于公开网站挖掘敏感信息,研究其的各项技术,实现了敏感信息的定义及敏感信息挖掘方法。 1.2 需求分析 随着互联网的快速发展,网络的信息呈现出爆炸型增长。然而由于网络应用程序本身的缺陷加上管理上的疏忽,越来越多的敏感信息暴露于公共网络之上,个人隐私、站点结构等敏
BIND-DNS配置介绍
最新发布
有莘不破的博客
01-02 1236
介绍BIND-DNS实操的一些常用配置内容
bind9 dns服务
10-08 1248
ind9 dns服务
DNS&BIND9安装配置
qq_37313385的博客
04-05 2931
DNS DNS是将域名解析成IP地址的协议,有的时候也用于将IP地址反向解析成域名,也可以实现双向的解析。 当客户端使用域名时会向DNS服务器发送请求,DNS会返回相应的IP给客户端之后客户端在向对应的IP发起请求。 域名 域名是网络上用于网络域、计算机、服务器等网络设备地址的标识。域名的结构如下图 **结构:**域名是分层管理的,最高层的域名是根域".“就是一个点”."。 **根域:**全世界只有13组根服务器,名字分别为A至M,其10台设置在美国,另外三台设置于英国、瑞典、日本。顶级域名是由ICA
CentOS8.4 Bind服务配置(DNS解析)
Al_1的博客
12-07 3793
搭建bind服务,实现dns解析日常使用的功能
3. 自建DNSbind9)
sirius
05-21 2045
3. 自建DNSbind9) 扩展关键词: web dns、 NamedManager(是一个基于Web的DNS管理系统) 注意:下文操作是在172.10.10.11机器上处理的,关键配置注意对应 各主机ip 及其hostname的设置 一、bind是什么 LinuxBind9(dns)配置详解 二、安装bind yum install bind 三、配置\启动bind9 1. 主配置文件 vi /etc/named.conf 注意严格格式,空格等 options节点下 监听端口和IP修改
使用 bind 设置 DNS 服务器的方法
09-14
Bind9是一个强大的Linux下开放源代码的DNS服务器软件,这篇文章主要介绍了使用 bind 设置 DNS 服务器的方法,需要的朋友可以参考下
在Windows 7 上安装DNS服务器bind9方法详解
09-30
本文主要介绍在WIN7上安装bind9 DNS服务器的方法,非常详细希望对大家有所帮助
UNBOUND 搭建 LDNS服务和使用bind搭建dnssec环境
DK
06-03 1138
本文章主要是针对unbound做解释。 1.首先会介绍一下dns协议。 2.了解如何配置本地域,转发域,RPZ,了解消息缓存,RRSET缓存,否定缓存等功能。 3.使用bind搭建迭代查询的环境 4.搭建dnssec
DNSSEC:它是什么?为什么说它很重要?
03-18
NULL 博文链接:https://hanz188.iteye.com/blog/657958
bind9 常用配置-正反向解析
linggang_123的博客
10-21 5068
BIND主要有三类配置文件:BIND的主配置文件、正/反解记录清单文件和正/反解记录文件。 (https://blog.csdn.net/ysdaniel/article/details/6994109) BIND的主配置文件(/var/named/chroot/etc/named.conf)BIND的全局设置; 正/反解记录清单文件(/var/named//chroot/etc/named.rfc1912.zones,实际上,在主配置文件named.conf指定了正/反解记录清单文件的位置。)列
DNS BINDdnssec安全介绍
任何技能都是从模仿开始,逐步升华。
04-16 2万+
Domain Name System Security Extensions (DNSSEC)DNS安全扩展,是由IETF提供的一系列DNS安全认证的机制(可参考RFC2535)。它提供了一种来源鉴定和数据完整性的扩展,但不去保障可用性、加密性和证实域名不存在。DNSSEC是为解决DNS欺骗和缓存污染而设计的一种安全机制。
运维之DNS服务器Bind9配置解析和基础示例及附带命令
WeiyiGeek 唯一极客IT知识分享
04-27 6231
0x03 Bind 配置解析 实例1.DNS主从区域传输介绍与配置 实例2.DNS区域传输限制 实例3.DNS部分二级域名解析 示例1.采用Bind建立一个A记录DNS服务器 示例2.采用Bind建立一个CNAME记录DNS服务器 示例3.采用Bind建立一个正向/反向解析DNS服务器 示例4.DNS递归迭代查询 1) 配置文件目录 2) 配置选项 3..
bind---dns服务器
识途老码
09-01 4575
bind---dns服务器A记录CNAMEDNS工作模式正向解析模式反向解析模式主服务--根服务器主服务-CDN,分离解析技术从服务器缓存服务器向DNS服务器发起域名查询请求的流程TSIG加密**安装Bind服务程序**配置bind编辑bind主配置文件编辑区域配置文件新建正向解析文件新建反向解析文件编辑正向解析文件 A记录 将域名解析到一个IP地址上 CNAME 将域名解析到一个别名上 DNS工作模式 正向解析模式 将域名解析为IP地址 正常情况下,我们的99.99%都是正向解析 ​ 反向解
DNS的部署(BIND)的经验之谈 (有常见报错总结)
weixin_49315122的博客
08-21 4133
这里不介绍DNS的基础知识,只关于DNS部署相关的内容 首先理解两个概念: 递归请求和迭代请求 所谓递归请求:即为DNS服务器要去DNS的根服务器一层一层的请求下来(相当消耗资源) 所谓迭代请求:DNS服务器从自己负责的区域这一层或往下就能找到(不需要去DNS根服务器找) 本机主DNS服务器:192.168.150.129 从DNS服务器:192.168.150.130 子域DNS服务器:192.168.150.131 BIND的基础安装 (1)yum安装BIND安装包 yum.
BIND9配置文件详解
weixin_44816732的博客
05-20 4723
参考ISC BIND9 - 最详细、最认真的从零开始的 BIND 9 - DNS服务搭建及其原理讲解 一、conf文件字段详解 1. acl   一般来说,ACL模块用来承担控制主机可以访问域名解析服务器的角色,其设置不会让控制文件的配置非常冗余和庞大。采用这个配置可以有效防范DOS以及Spoofing攻击。一般来说定义这部分的内容来规定IP是否能够被接入以及Blacklist来阻止某些特定的IP地址介入到域名解析服务器。 ACL匹配客户端是否能够接入到域名服务器基于三个基本的特征: 客户端的IPv4
DNS协议及Bind应用
个人博客:busyops.com
02-20 787
一、DNS基础概念 域名服务协议(Domain Name Service),属于应用层协议,需要借助通信子网完成通信,采用c/s架构,端口号为53/udp和53/tcp 1. 诞生背景 DNS协议不是在网络诞生最初就有的,据说全球最早接入网络的计算机只有四台,使用IP地址就可以完成主机间的通信,但是随着时间的推移接入网络的主机越来越多,并且人类最容易记住的连续数字不超过6个的,但是IP地址长度却可能到12位,所以最初的解决方案就是在本地引入一个文件(hosts文件),这个文件里面记录了每一个需要通信的IP地
bind
chonglianguang7366的博客
06-24 260
acl:定义IP地址表的名字,用于访问控制等 语法: acl acl-name { address_match_list; } controls:宣告一个用于rndc工具控制通道 语法: controls { [ inet ( ip_addr | * ) [ ...
如何在Ubuntu使用bind搭建dns服务器
06-01
在 Ubuntu 上搭建 DNS 服务器可以通过使用 BIND(Berkeley Internet Name Domain)实现。下面是步骤: 1. 安装 BIND: `sudo apt-get update` `sudo apt-get install bind9` 2. 配置 BIND: 配置文件位于 /...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值