Wiki-Bereiche:

Informationstechnik (IT)
Hobbys

Artikel in diesem Bereich:

Zum Ende der Metadaten springen
Zum Anfang der Metadaten springen

Grundkonfiguration bind9

aptitude install bind9

/etc/hosts:

127.0.0.1       localhost       dnssec1.xyz.de

/etc/bind/named.conf.options:

options {
        directory "/var/cache/bind";

        auth-nxdomain no;    # conform to RFC1035
        listen-on { 127.0.0.1; 81.3.45.121; };
        listen-on-v6 { none; };

        allow-transfer { 127.0.0.1; a.b.c.d; };
        notify yes;

        dnssec-enable yes;
        recursion no;
        dnssec-validation no;

        hostname "dnssec1.xyz.de";
        version "";

        querylog yes;
};

Zone konfigurieren

Zonefile anlegen:

cd /var/cache/bind
mkdir primary
touch primary/terafusion.de
chown -R root:bind . 
chmod -R g+w,o-rwx .
n -s /var/cache/bind/primary/ /etc/bind/primary

/etc/bind/named.conf.local:

zone "terafusion.de" {
       type master;
       file "primary/terafusion.de";
};

Schlüssel generieren

ZSK für die Zone terafusion.de erzeugen:

cd /var/cache/bind/primary/

dnssec-keygen -a RSASHA512 -b 1024 -n ZONE terafusion.de

KSK für die Zone terafusion.de erzeugen:

dnssec-keygen -a RSASHA512 -b 2048 -n ZONE -f KSK terafusion.de

Zone signieren

cat Kterafusion.de.*key >> terafusion.de
dnssec-signzone -3 3DA89EE1 -N INCREMENT terafusion.de

Signierte Zone aktivieren

/etc/bind/named.conf.local:

zone "terafusion.de" {
       type master;
       file "primary/terafusion.de.signed";
};

Konfig und Zone neuladen:

rndc reconfig
rndc flush

DNSSEC-Ausgabe prüfen:

# dig @localhost terafusion.de DNSKEY +short
256 3 10 AwEAAcelIT7ThHhLEVJ4H8Fm0dzDdWyu9ghD2ekVP20hxeoDj6A7oqGG rrQxkrlIwxGfi98d1cwn3QhRirCb4icLAYnCgBjm6Te/OmlsF+6qmJ4k 12Fb61/hOJHlqiAuL/FcJUgOvqlQhoMPrzDGbaabd8VLP2DLl7hNxPez JoXT5Ggn
257 3 10 AwEAAbSjxnWtNaPFrX4bluvPirTRw8AQSXMM4aIaARQJDqDmN9dsJQ9X rBE3TgpyyuON/dV6c3WnMNlJUZL7qV4xTLhpZKDMfAGPucoDmsx8+2My +9mrfcEXG3itD6wFI1aWjO7YgTSPRMmLqjh5G1HjZkiujMJNdp2RkKBg 0dz6Ri3TbZbtzJUGV8MZVQus+3ZdUx0bpdJSa7yUBge4GEnz4jsrLDbk uJB8lIDefO5KSHWhB4oCh9WP9OAtMkF4q815LErSIYn2xl1Cl332yS52 c4EfLJ+8xGsVuZJrdhEVoHBA8Xjvu6bsUyVv4SVWMKr97EZHPoQcv44u 451208lThd0=

Regelmäßige Arbeiten

Die Schlüssel (KSK, ZSK) und die Signaturen (RRSIG) haben nur eine begrenzte Gültigkeit. Bei den Signaturen sind es standardmäßig nur 30 Tage. Daher müssen diese regelmäßig neu erstellt werden. Erstes Skript zur automatischen Aktualisierung der Signaturen:

Geben Sie Stichwörter ein, die dieser Seite hinzugefügt werden sollen:
Please wait 
Sie suchen ein Stichwort? Beginnen Sie einfach zu schreiben.