114服务器是否支持dnssec,bind配置一个域支持dnssec

最新推荐文章于 2024-01-02 09:13:54 发布
最新推荐文章于 2024-01-02 09:13:54 发布
阅读量237 收藏
点赞数
文章标签: 114服务器是否支持dnssec

named.conf中options相关配置

dnssec-enable yes;

dnssec-validation yes;

dnssec-lookaside auto;建立目录留作生成key放置

[root@ddi ~]# cd /var/named/

[root@ddi named]# mkdir dnssec_keyszone配置

zone "mnn.com" IN {

type master;

file "mnn.com.zone";

auto-dnssec maintain;

update-policy local;

key-directory "/var/named/dnssec_keys";

};

file "mnn.com.zone"; 一会与修改为签名后的zone生成密钥

[root@ddi named]# cd dnssec_keys/

[root@ddi dnssec_keys]# ls

[root@ddi dnssec_keys]# dnssec-keygen -f KSK -a RSASHA1 -r /dev/urandom -b 512 -n ZONE mnn.com

Generating key pair................++++++++++++ ..........................++++++++++++

Kmnn.com.+005+41497

[root@ddi dnssec_keys]# ls

Kmnn.com.+005+41497.key  Kmnn.com.+005+41497.private

[root@ddi dnssec_keys]# dnssec-keygen -a RSASHA1 -r /dev/urandom -b 512 -n ZONE mnn.com

Generating key pair..............++++++++++++ ................++++++++++++

Kmnn.com.+005+45006

注:此处可能出错,比较新的bind版本此命令去掉了-r参数 此处去掉即可,查看dnssec-keygen帮助可以看到-b参数支持区间为1024-4096所以出错此处需修改。

修改后命令为

dnssec-keygen -f KSK -a RSASHA1 -b 1024 -n ZONE mnn.com

dnssec-keygen -a RSASHA1 -b 1024 -n ZONE mnn.com

之后在dnssec_keys目录中可以看到4个文件,两个公钥和两个私钥,配置解析库的时候会用到

[root@ddi dnssec_keys]# ls

Kmnn.com.+005+41497.key  Kmnn.com.+005+41497.private  Kmnn.com.+005+45006.key  Kmnn.com.+005+45006.private

[root@ddi dnssec_keys]# pwd

/var/named/dnssec_keys签名

1,将前面生成的两个公钥添加到区域配置文件末尾

[root@ddi dnssec_keys]# vim ../mnn.com.zone

$TTL 600

@              IN      SOA    dns.mnn.com. dnsadmin.mnn.com. (

20190109

2H

4M

1W

2D

)

@              IN  NS          dns.mnn.com.

@              IN  MX  10      mail.mnn.com.

dns            IN  A          192.168.16.109

mail            IN  A          5.5.6.6

www            IN  A          6.6.8.8

$INCLUDE "/var/named/dnssec_keys/Kmnn.com.+005+41497.key"

$INCLUDE "/var/named/dnssec_keys/Kmnn.com.+005+45006.key"

2,对zone签名

[root@ddi dnssec_keys]# dnssec-signzone -K /var/named/dnssec_keys -o mnn.com. /var/named/mnn.com.zone

Verifying the zone using the following algorithms: RSASHA1.

Zone fully signed:

Algorithm: RSASHA1: KSKs: 1 active, 0 stand-by, 0 revoked

ZSKs: 1 active, 0 stand-by, 0 revoked

/var/named/mnn.com.zone.signed

会生成一个后缀为.signed的文件,这个就是签名后的zone 修改zone为签名后的zone

[root@ddi dnssec_keys]# vim /etc/named.rfc1912.zones

zone "mnn.com" IN {

type master;

file "mnn.com.zone.signed";

auto-dnssec maintain;

update-policy local;

key-directory "/var/named/dnssec_keys";

};生成信任锚

[root@ddi dnssec_keys]# ls

dsset-mnn.com.  Kmnn.com.+005+41497.key  Kmnn.com.+005+41497.private  Kmnn.com.+005+45006.key  Kmnn.com.+005+45006.private

[root@ddi dnssec_keys]# cat Kmnn.com.+005+41497.

Kmnn.com.+005+41497.key      Kmnn.com.+005+41497.private

[root@ddi dnssec_keys]# cat Kmnn.com.+005+41497.key

; This is a key-signing key, keyid 41497, for mnn.com.

; Created: 20191021065307 (Mon Oct 21 14:53:07 2019)

; Publish: 20191021065307 (Mon Oct 21 14:53:07 2019)

; Activate: 20191021065307 (Mon Oct 21 14:53:07 2019)

mnn.com. IN DNSKEY 257 3 5 AwEAAcYZa4ptqjSKQMWJpUx0Rfms24WUlX5r/gMw/m5JQTCe0xkgRhy8 mYSBBukxEs+2yrf6mkHlrEMd9q8C0zzvLAk=

[root@ddi dnssec_keys]#

[root@ddi dnssec_keys]# cat Kmnn.com.+005+45006.key

; This is a zone-signing key, keyid 45006, for mnn.com.

; Created: 20191021065330 (Mon Oct 21 14:53:30 2019)

; Publish: 20191021065330 (Mon Oct 21 14:53:30 2019)

; Activate: 20191021065330 (Mon Oct 21 14:53:30 2019)

mnn.com. IN DNSKEY 256 3 5 AwEAActhvaoSchX/WxuGmzYoR0JIZ1cP963hrazD/hvrws4qOPtw4//w Wkhd/W6FxMEgnXt21ByF5z37Xc1QD1ny6Uk=

[root@ddi dnssec_keys]#

/etc目录下生成文件 sec-trust-anchors.conf

[root@ddi dnssec_keys]# vim /etc/sec-trust-anchors.conf

trusted-keys {

mnn.com. 256 3 5 "AwEAActhvaoSchX/WxuGmzYoR0JIZ1cP963hrazD/hvrws4qOPtw4//w

Wkhd/W6FxMEgnXt21ByF5z37Xc1QD1ny6Uk=";

mnn.com. 257 3 5 "AwEAAcYZa4ptqjSKQMWJpUx0Rfms24WUlX5r/gMw/m5JQTCe0xkgRhy8

mYSBBukxEs+2yrf6mkHlrEMd9q8C0zzvLAk=";

};

2,在named.conf中添加

include "/etc/sec-trust-anchors.conf";重启named测试

service named restart

2da8e93d249f

以网为生
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DNS服务器详细搭建bind(避坑)
zs100的博客
12-18 989
服务器操作系统X64 Red Hat 8.5.0-3 命令安装yum install -y bind bind-chroot bind-utils vi /etc/named.conf 在options{...}里面找到下列语句并按我的格式修改空格别漏 listen-on port 53 { any; }; listen-on-v6 port 53 { any; }; allow-query { any; }; #要转发的DNS服务器 这里就用来做上外网转发用的 forward first.
docker-bind:在具有通配支持的Debian上绑定缓存DNS服务器
05-22
基于Debian slim的绑定缓存DNS服务器,并支持DNS转发器,无限通配DNS,无限额外主机,反向DNS,DNSSEC定时设置等。 Docker集线器 上游项目 目录 DNS_FORWARDER TTL_TIME REFRESH_TIME RETRY_TIME EXPIRY_...
腾讯云DNSPod 已全面支持 DNSSEC啦~内含D妹抽奖!
DNSPod
03-26 1049
腾讯云 DNSPod 已全面支持 DNSSEC啦~(名&DNS 双向支持)腾讯云 DNSPod 更有贴心特性腾讯云注册名:支持一键开通,无需手动添加 DS 记录开关保护:智能...
DNS BINDdnssec安全介绍
热门推荐
任何技能都是从模仿开始,逐步升华。
04-16 2万+
Domain Name System Security Extensions (DNSSEC)DNS安全扩展,是由IETF提供的一系列DNS安全认证的机制(可参考RFC2535)。它提供了一种来源鉴定和数据完整性的扩展,但不去保障可用性、加密性和证实名不存在。DNSSEC是为解决DNS欺骗和缓存污染而设计的一种安全机制。
UNBOUND 搭建 LDNS服务和使用bind搭建dnssec环境
DK
06-03 1227
本文章主要是针对unbound做解释。 1.首先会介绍一下dns协议。 2.了解如何配置本地,转发,RPZ,了解消息缓存,RRSET缓存,否定缓存等功能。 3.使用bind搭建迭代查询的环境 4.搭建dnssec
dns bind 配置, 比较全的
miaomiaodmiaomiao的专栏
04-07 1418
这年头,搞个智能DNS还是很简单的,理论知识就不说了,这里把实战的步骤罗列一下,以期能对你有帮助。 1、测试机器规划 角色 操作系统 Ip地址 内存 Master Ubuntu 13.10 10.32.240.18/23 2G Slave Ubuntu 13.10 10.32.240.71/23
使用 bind 设置 DNS 服务器的方法
09-14
通过以上步骤,你已经成功配置了一个基本的 Bind9 DNS 服务器。注意,这只是一个基础配置,实际环境中可能还需要考虑安全策略、DNS 缓存、负载均衡、DNS 更新策略等更多复杂因素。如果你需要对外提供 DNS 服务,建议...
Ubuntu配置DNS服务器--bind.doc
06-22
Ubuntu 配置 DNS 服务器 - BIND 在互联网时代,Domain Name System (DNS) 扮演着至关重要的角色,它允许用户访问网站、发送电子邮件和进行其他在线活动。 BIND (Berkeley Internet Name Domain) 是一种广泛使用的 ...
Cyent_XP里DNS服务器(BIND)配置.zip
05-31
在Cyent_XP系统中配置DNS服务器,通常指的是使用BIND(Berkeley Internet Name Domain)软件来搭建名解析服务。BIND是互联网上最广泛使用的DNS服务器软件之一,它负责将人类可读的名转换为IP地址,反之亦然。这...
BIND9私有DNS服务器中使用DNSSEC
juneman的专栏
08-22 4391
DNSSEC是为解决DNS欺骗和缓存污染而设计的一种安全机制。本文简要描述在BIND上的DNSSEC配置
Bind基本配置
dai451954706的专栏
09-11 1483
Bind基本配置 1、安装bind 下载bind-9.7.2-P2 #tar xvf bind-9.7.2.-P2 #./configure –prefix=/app/named --disable-ipv6 --disable-openssl-version-check --enable-threads #make #make install 2、配置bind 生成rndc.co
使用bind搭建权威DNS服务器
guoer9973的专栏
12-14 2836
Introduction BIND is the one of the most popular DNS servers used across the Internet. The server can act as an authoritative, recursive, and caching name server and it supports wide range of features
使用bind搭建内网dns服务
低级知识传播者
07-09 2055
dns服务端方案简介 dns服务有什么用呢,尤其是内网的dns服务,其实用处还蛮大的,我见过的典型使用,是数据库跨机房多活。 如某mysql主机搭建在深圳机房,为了保证高可用,那我们可以给这台主库,维护多个深圳同城的跨机房半同步备机,在异地如上海还可以维护一个异步备机。当主机出问题时候,我们可以切换到备机去,而切换了之后,ip肯定就变了,此时就不得不要求客户端修改ip,非常麻烦。 一个可选的方案就是,给客户端服务提供一个名,客户端服务通过名获取对应的ip,然后再去和该ip建立连接。当数据库发生主备切换时
巧妙运用DNS及其安全扩展DNSSec
cpongo011702
12-20 1219
启迪云-高级开发工程师 王文翔 | 文背景名系统(DNS)是一个为连接到互联网或者私有网络的计算机,服务或者其它资源提供命名服务的层级化的分布式系统。自从1985年以来,DNS做为互联网中一个重要组成部分,已经被广泛被使用,同时DNS做为一种标准协议,处于TCP/IP的应用层。当前全球名由ICANN统一进行协调,国家或者名提供商从ICANN申请到顶级名后,再面向企事业,个人或组织开放注册。...
BIND-DNS配置介绍
最新发布
有莘不破的博客
01-02 1628
介绍BIND-DNS实操的一些常用配置内容
DNSSEC 实战
sysin | SYStem INside
12-22 4038
DNSSEC 全称 Domain Name System Security Extensions,即 DNS 安全扩展,是由 IETF 提供的一系列 DNS 安全认证的机制(可参考 RFC2535)。它提供一种可以验证应答信息真实性和完整性的机制,利用密码技术,使得名解析服务器可以验证它所收到的应答(包括名不存在的应答)是否来自于真实的服务器,或者是否在传输过程中被篡改过。
CentOS8.4 Bind服务配置(DNS解析)
Al_1的博客
12-07 3961
搭建bind服务,实现dns解析日常使用的功能
DNS协议及Bind应用
个人博客:busyops.com
02-20 818
一、DNS基础概念 名服务协议(Domain Name Service),属于应用层协议,需要借助通信子网完成通信,采用c/s架构,端口号为53/udp和53/tcp 1. 诞生背景 DNS协议不是在网络诞生最初就有的,据说全球最早接入网络的计算机只有四台,使用IP地址就可以完成主机间的通信,但是随着时间的推移接入网络的主机越来越多,并且人类最容易记住的连续数字不超过6个的,但是IP地址长度却可能到12位,所以最初的解决方案就是在本地引入一个文件(hosts文件),这个文件里面记录了每一个需要通信的IP地
DNS服务-bind的配制
seaship的博客
02-13 1054
(zone)和(domain): mageedu.com: FQDN-->IP 正向解析库; 区 IP-->FQDN 反向解析库; 区数据库文件: 资源记录:Resource Record,简称rr; 记录类型有:A,AAAA,PTR,SOA,NS,CNAME,MX **SOA**:start of Authority,起始授权记录;一个区...
Ubuntu安装与配置BIND9 DNS服务器指南
BIND 9在2000年10月发布,其主要功能包括动态DNS更新、DNSSEC(DNS安全扩展)支持和更多高级特性。官方资源包括: - 官方网站:http://www.bind.com/ - 最新版本下载:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值