Configuração da zona DNS com atualizações de zona segura

6

Como executo um servidor dns com uma zona para um domínio local e posso adicionar entradas dinâmicas à dns zone com segurança de hosts selecionados?

Eu tentei configurar um domínio 'rag.local' com bind9. Eu tentei adicionar um novo registro para essa zona usando TSIG . Funciona agora. Os passos estão abaixo.

Usado dnssec para gerar chave secreta para a zona

$ dnssec-keygen -r /dev/urandom -a HMAC-MD5 -b 512 -n HOST rag.local
$ ls -l 
-rw------- 1 rag rag 118 Mar  7 23:22 Krag.local.+157+26937.key
-rw------- 1 rag rag 229 Mar  7 23:22 Krag.local.+157+26937.private

Copiado .key para / etc / bind

/etc/bind$ ls -lt
-rw-r--r-- 1 root bind  265 Mar  7 23:43 rag.local
-rw-r--r-- 1 root bind  435 Mar  7 23:35 named.conf.local
-rw------- 1 root bind  118 Mar  7 23:33 Krag.local.+157+26937.key

named.conf.local

/etc/bind$ cat named.conf.local 

key "rag.local." {
  algorithm hmac-md5;
  secret "secret-key";
};

zone "rag.local" {
        type master;
        file "/etc/bind/rag.local";
        allow-update { key "rag.local."; };
};

definição de zona rag.local. EDIT: este arquivo anterior não tem um servidor de nome válido e e-mail admin para a zona. também o arquivo de zona perdeu um registro A para o servidor de nomes.

/etc/bind$ cat rag.local
;
; BIND data file for local loopback interface
;
$TTL    604800
@   IN  SOA ns.rag.local. admin.rag.local. (
                  2     ; Serial
             604800     ; Refresh
              86400     ; Retry
            2419200     ; Expire
             604800 )   ; Negative Cache TTL
;
@   IN  NS  ns.rag.local.
@   IN  A   127.0.0.1
ns  IN  A   127.0.0.1
@   IN  AAAA    ::1

Você pode receber algum erro como o abaixo se o arquivo de zona não for válido

Mar  8 00:00:44 rag-tos-laptop named[20349]: zone rag.local/IN: journal rollforward failed: no more
Mar  8 00:00:44 rag-tos-laptop named[20349]: zone rag.local/IN: not loaded due to errors.

EDIT: após o arquivo de zona ser corrigido

Mar  8 00:23:43 rag-tos-laptop named[21469]: zone rag.local/IN: loaded serial 2
Mar  8 00:23:43 rag-tos-laptop named[21469]: zone localhost/IN: loaded serial 2

Um arquivo de nsupdate de amostra

$ cat nsupdate.txt 
server localhost
debug yes
zone rag.local.
update add host1.rag.local. 3600 A 10.20.30.40
show
send

Executar atualização

 nsupdate -k Krag.local.+157+26937.private -v nsupdate.txt 

Requer permissões de gravação para bind group em /etc/bind para resolver alguns problemas de permissão.

Obrigado

    
por rag 07.03.2013 / 18:12

1 resposta

4

Eu resolvi isso:

dnssec-keygen -a HMAC-MD5 -b 128 -n HOST example.com.

editando conf. arquivo:

// TSIG Key
key "example.com." {
algorithm hmac-md5;
secret "THE KEY GENERATED ABOVE"; 
};
zone "example.com" IN {
  type master;
  file "example.com.zone";
  allow-update{ key "example.com."; };
};

Este é o passo que você precisa adicionar

forneça a autorização nomeada para a pasta / var / named:

# chown -R named:named /var/named
# find . -type d -exec chmod 770 {} \;
# find . -type f -exec chmod 660 {} \;

Observação: depois de usar o nsupdate, é necessário recarregar a zona usando as seguintes etapas:

rndc freeze example.com

then reloading

rndc reload example.com  

then allowing dynamic updates again:

rndc thaw example.com
    
por 13.06.2014 / 10:59

Tags