linux dns 加密,DNS主辅同步(TSIG) 加密

最新推荐文章于 2022-03-24 17:31:51 发布
最新推荐文章于 2022-03-24 17:31:51 发布
阅读量473 收藏 1
点赞数 1
文章标签: linux dns 加密

DNS主辅同步(TSIG) 加密

1TSIG: Transaction Signatures

使用共享钥匙进行加密(shared symmetric key)

(1)  是一个安全的访问控制机制。

(2)  保护信息在传输的过程中不会被改变。

要求:时间必须是准确的。

2.加密工具使用 dnsssec-kengen

要求:两台机器必须有一样的key且key名字必须一样

数据只会传输给有key的机器

3.实验环境:(centos 6.0)

主dns:192.168.10.15

辅dns:192.168.10.11

4.主dns配置:

yum install bind bind-chroot -y

service named restar

cd /var/named/chroot/etc/

dnssec-keygen -a HMAC-MD5 -b 128 -n HOST server120-station #生成key

vim cheng.example.key                                      #将生成的key写到secret的地方

key "server120-station" {                                  #注意:这里写的是生成key的名字

algorithm hmac-md5;

secret "ejzKuhKarv5U+Wv3YCiW7w==";                 #将生成的key复制到此处

};

chmod 640 cheng.example.com.key        #更改权限

chmod root.named cheng.example.com.key #更改所属组所有者

主配置文件的配置:

注意:主dns与辅助dns时间必须同步。

vim /var/named/chroot/etc/named.conf

include "/etc/cheng.example.com.key"; #定义key

options {

listen-on port 53 { any; };

listen-on-v6 port 53 { ::1; };

directory       "/var/named";

dump-file       "/var/named/data/cache_dump.db";

statistics-file "/var/named/data/named_stats.txt";

memstatistics-file "/var/named/data/named_mem_stats.txt";

allow-query     { any; };

recursion yes;

allow-transfer { key server120-station ; };  # 定义有key的主机才用

dnssec-enable yes;

dnssec-validation yes;

dnssec-lookaside auto;

/* Path to ISC DLV key */

bindkeys-file "/etc/named.iscdlv.key";

managed-keys-directory "/var/named/dynamic";

};

logging {

channel default_debug {

file "data/named.run";

severity dynamic;

};

};

zone "." IN {

type hint;

file "named.ca";

};

include "/etc/named.rfc1912.zones";

include "/etc/named.root.key";

zone "cheng.com" IN {

type master;

file "cheng.com";

allow-update { none; };

};

zone "10.168.192.in-addr.arpa" IN {

type master;

file "cheng.local";

allow-update { none; };

};

这里正反向文件就略去了

5.辅dns配置:

注意:主辅dns时间必须同步。

yum install bind bind-chroot  -y

service named restart

vim /var/named/chroot/etc/cheng.example.key                #将生成的key写到secret的地方

key "server120-station" {                                  #注意:这里写的是生成key的名字

algorithm hmac-md5;

secret "ejzKuhKarv5U+Wv3YCiW7w==";                 #将主dns生成的key复制到此处,两者必须一致。

};

chmod 640 cheng.example.com.key        #更改权限

chmod root.named cheng.example.com.key #更改所属组所有者

辅助dns主文件配置:

vim /var/named/chroot/etc/named.conf

include "/etc/cheng.example.com.key"; # 定义key

options {

listen-on port 53 { any; };

listen-on-v6 port 53 { ::1; };

directory       "/var/named";

dump-file       "/var/named/data/cache_dump.db";

statistics-file "/var/named/data/named_stats.txt";

memstatistics-file "/var/named/data/named_mem_stats.txt";

allow-query     { any; };

recursion yes;

dnssec-enable yes;

dnssec-validation yes;

dnssec-lookaside auto;

/* Path to ISC DLV key */

bindkeys-file "/etc/named.iscdlv.key";

managed-keys-directory "/var/named/dynamic";

};

logging {

channel default_debug {

file "data/named.run";

severity dynamic;

};

};

zone "." IN {

type hint;

file "named.ca";

};

include "/etc/named.rfc1912.zones";

include "/etc/named.root.key";

zone "cheng.com" IN {

type slave;

file "slaves/cheng.com";

masters {  192.168.10.15; };

};

zone "10.168.192.in-addr.arpa" IN {

type slave;

file "slaves/cheng.local";

masters { 192.168.10.15; };

};

server 192.168.10.15             #指定主dns的ip

{ keys { server120-station; };   #指定key

};

6.      查看系统日志测试是否成功。

Feb 10 22:10:20 localhost named[27894]: client 192.168.10.12#51660: transfer of '10.168.192.in-addr.arpa/IN': AXFR started: TSIG server120-station

Feb 10 22:10:20 localhost named[27894]: client 192.168.10.12#51660: transfer of '10.168.192.in-addr.arpa/IN': AXFR ended

Feb 10 22:10:21 localhost named[27894]: client 192.168.10.12#33742: transfer of 'cheng.com/IN': AXFR started: TSIG server120-station

Feb 10 22:10:21 localhost named[27894]: client 192.168.10.12#33742: transfer of 'cheng.com/IN': AXFR ended

查看日志文件已经同步过去,主辅dns设置成功。

爱吃超人的怪兽
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DNS BIND主辅同步TSIG加密
任何技能都是从模仿开始,逐步升华。
04-19 5796
Transaction signatures(TSIG)通常是一种确保DNS消息安全,并提供安全的服务器与服务器之间通讯(通常是在主从服务器之间)的机制TSIG可以保护以下类型的DNS服务器:Zone转换、Notify、动态升级更新、递归查询邮件。TSIG适用于BIND v8.2及以上版本。TSIG使用共享秘密和单向散列函数来验证的DNS信息。 TSIG是易于使用的轻便解析器和命名机制TSIG是一个安全的访问控制机制,保护信息在传输的过程中不会被改变。
基于TSIGDNS
weixin_34416649的博客
04-07 215
DNS的重要性不言而喻,有太多的服务都离不开DNS,有很多基于DNS的***,比如DNS欺骗之类的,***一旦获取了DNS的zone文件,就可以获得服务器的很多信息。下面我们介绍一种基于TSIGDNS,可以保障主从DNS之间的复制安全性,并且可以保证***无法获得zone文件。 TSIG可以保证zone文件在传输过程中没有被篡改,并且还能保证那些主机允许接受...
DNS主从TSIG加密传输
weixin_30498921的博客
02-11 200
BIND服务程序为了能够安全的提供解析服务而支持了TSIG加密机制TSIG主要是利用密码编码方式保护区域信息的传送(Zone Transfer),也就是说保证了DNS服务器之间传送区域信息的安全。 主DNS服务器IP:192.168.16.20 从DNS服务器IP:192.168.16.30 1,在主服务器中使用dnssec-keygen生成DNS服务秘钥 [root@localho...
TSIG
幽雨雨幽
12-19 3058
TSIG(Transaction SIGnature)是RFC 2845中定义的计算机网络协议。主要是它使域名系统(DNS)能够验证对DNS数据库的更新。这是最常用的更新动态DNS或辅助/从属DNS服务器。TSIG使用共享密钥和单向哈希来提供一种密码安全的方式来认证连接的每个端点被允许作出或响应DNS更新。 尽管对DNS的查询通常可能在没有身份验证的情况下进行,但对DNS的更新必须经过身
WindowsServer2008DNS服务器主辅同步配置.pdf
01-15
不错的资源哦!
linux主辅dns服务器配置的说明
05-21
linux主辅dns服务器配置的说明,了解主辅服务器的原理,以及怎样去配置一个主辅服务器。
主辅dns同步
03-12
主辅DNS同步+实验主辅DNS同步+实验
win2003实验(主辅DNS
03-23
win2003实验(主辅DNS).doc,详细介绍了关于WINDOWS2003SERVER组建主辅DNS,有截图的详细教程。
DNS轮训主辅配置
09-22
linux系统DNS配置:DNS安装;DNS轮训;DNS主辅结构配置
DNS TSIG Key
weixin_46044599的博客
03-24 1320
**DNS** IP地址模式 主DNS服务器:redhat7 10.10.11.20 客户端:centos7 10.10.11.30 1、两边安装bind,bind-utils,bind-chroot [root@redhat7 ~]# yum install bind bind-utils bind-chroot [root@redhat7 named]# systemctl enable named.service [root@redhat7 named]# systemctl ...
BIND9安全:Transaction Signatures(TSIG)配置
wdt3385的专栏
11-14 2118
转自:http://security.ctocio.com.cn/wpsummary/11/8710011.shtml 【IT专家网独家】问:怎么用TSIG(Transaction SIGnature)机制配置BIND9域名服务,以确保服务器与服务器之间的安全通讯?对于DNS该如何使用认证密钥绑定域名服务器?   答:Transaction signatures (TSIG) 通常是一
指定dns加密服务器,DNS主辅同步TSIG加密
weixin_36310662的博客
07-31 1142
DNS主辅同步(TSIG) 加密[日期:2013-02-24]来源:Linux社区作者:baochenggood[字体:大 中 小]DNS主辅同步(TSIG) 加密1TSIG: Transaction Signatures使用共享钥匙进行加密(shared symmetric key)(1) 是一个安全的访问控制机制。(2) 保护信息在传输的过程中不会被改变。要求:时间必须是准确的。2.加密工...
Linux 部署DNS主从服务器和文件加密
weixin_46675699的博客
12-15 1327
【部署从服务器】 1.安装DNS文件 yum -y install bind-chroot 2.编辑从服务器DNS的主配置文件 vim /etc/name/named.conf 3.编辑区域配置文件 vim /etc/named.rfc1912.zones #查看从服务器的数据文件,发现没有数据文件 ll /var named /slaves 4.重启named systemctl restart named #再次查看从服务器的数据文件,发现已经从主服务器上接收到数据文件 ll /v
DNS TSIG配置
weixin_33713350的博客
10-26 156
DNS TSIG配置 条件:首先应该主辅服务器已经做成功 主服务器: redhat5.4 ip 192.168.1.106 辅服务器: redhat5.4 ip 192.168.1.107 测试机: windows2003 ip 192.168.1.115 1.主服务器配置 ...
使用TSIGDNSSEC 技术加固DNS 服务器
weixin_34228387的博客
11-14 535
一、DNS 服务器的重要性DNS 是因特网建设的基础,几乎所有的网络应用, 都必须依赖 DNS 系统做网址查询的指引动作。如果DNS 系统运作不正常, 即使Web 服务器都完好如初, 防火墙系统都善尽其职, 相关的后端应用服务器以及数据库系统运作正常, 因为无法在期限时间内查得到网址, 将会导致电子邮件无法传递, 想要使用网域名称去连接某个网页, 也会因查不出网络地址...
DNS加密 防止被DNS劫持 保护网络安全
热门推荐
billyli的博客
02-12 1万+
上网的时,有时会突然弹出一个广告窗口,而且还无法返回刚才的界面,出现这样的情况,就说明你可能遭到了DNS劫持 目录 DNS 域名解析服务器——DNS DNS劫持 DNS加密 什么是dns加密 DNS加密的类型 使用DNS加密 设备使用DNS加密 DNS 域名解析服务器——DNS 在互联网中,每一台能上网的设备都有自己的一串IP地址。 举个例子,你能访问百...
DNSSEC 原理、配置与布署简介
syh_486_007的专栏
03-27 3015
DNSSEC 原理、配置与布署简介 Posted on May 16,2011 by Duan Haixin 作者:段海新,清华大学信息网络工程研究中心 摘要:DNSSEC是为解决DNS欺骗和缓存污染而设计的一种安全机制。本文概要介绍DNSSEC的背景、工作原理、在BIND上的配置,最后介绍国际上的布署情况和它可能对互联网安全体系的影响。 1  DNSSEC的背景和目的 域名系统(D
DNS基于TSIG 的安全密钥传送
weixin_34218579的博客
10-20 568
DNS 面临的安全问题: Host Enumberation :主机枚举 应该限定用密钥进行传送 用TSIG : 事物签名 来解决 TSIG: Transaction Signatures 事物签名 基于对称密钥加密技术的的DNS报文认证机制。密钥生成后存放至通信双方的配置文件中,报文传送前使用此密钥进行“签名”。事实上,由于使用的是对称加密技术,这里并不是实现...
Linux怎么配置rndc主辅DNS
最新发布
08-15
配置 rndc 主辅DNS 有几个步骤:1.在主 DNS 服务器上安装 bind 服务器;2.在辅助 DNS 服务器上安装 bind 服务器;3.在主 DNS 服务器上生成 rndc 密钥;4.将 rndc 密钥复制到辅助 DNS 服务器;5.在主 DNS 服务器上...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值