Dnssec bind9: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
Zeile 44: Zeile 44:
 
         file "kit.lab";
 
         file "kit.lab";
 
  };
 
  };
 +
=/var/cache/bind/kit.lab=
 +
<pre>
 +
$TTL 300        ; 5 minutes
 +
@                      IN SOA  leroy.kit.lab. technik.xunix.de. (
 +
                              2023021401 ; serial
 +
                              14400      ; refresh (4 hours)
 +
                              3600      ; retry (1 hour)
 +
                              3600000    ; expire (5 weeks 6 days 16 hours)
 +
                              86400      ; minimum (1 day)
 +
                              )
 +
                      NS      leroy.kit.lab.
 +
leroy.kit.lab.          IN      A      10.0.11.109
 +
</pre>
  
 
=Quellen=
 
=Quellen=
 
*https://www.linuxmaker.com/linux/bind9-mit-dnssec-absichern/konfiguration-von-dnssec.html
 
*https://www.linuxmaker.com/linux/bind9-mit-dnssec-absichern/konfiguration-von-dnssec.html

Version vom 14. Februar 2023, 16:43 Uhr

Grundkonfiguration

  • cat /etc/bind/named.conf.options
options {
	directory "/var/cache/bind";
        key-directory "/var/bind/keys";
	dnssec-validation auto;
};

Verzeichnis erstellen

  • mkdir -p /etc/bind/keys/
  • chown -R bind:bind /etc/bind/keys/

Key Signing Key (KSK) generieren

  • cd /etc/bind/keys/
  • dnssec-keygen -3 -a RSASHA512 -b 4096 -n ZONE -f KSK kit.lab
Option Wirkung
-3 aktiviert das gewünschte NSEC3
-a bestimmt den Typ der Signatur
-b gibt die gewünschte Blockgröße an
-n spezifiziert den Nametyp wie ZONE, HOST, USER
-f speziell für KSK muss diese Flag gesetzt werden

Zone Signing Key (ZSK) generieren

Den Zone Signing Key erzeugt man im Anschluß daran wie folgt, gefolgt von einer Neuzuordnung der Dateiattribute.

  • dnssec-keygen -3 -a NSEC3RSASHA1 -b 2048 -n ZONE kit.lab
  • chown -R bind:bind /etc/bind/keys/

/etc/bind/named.conf.local

  • cat /etc/bind/named.conf.local
zone "kit.lab" {
        type master;
        file "kit.lab";
};

/var/cache/bind/kit.lab

$TTL 300        ; 5 minutes
@                       IN SOA  leroy.kit.lab. technik.xunix.de. (
                               2023021401 ; serial
                               14400      ; refresh (4 hours)
                               3600       ; retry (1 hour)
                               3600000    ; expire (5 weeks 6 days 16 hours)
                               86400      ; minimum (1 day)
                               )
                       NS      leroy.kit.lab.
leroy.kit.lab.          IN      A       10.0.11.109

Quellen

Abgerufen von „http://wiki.ixheim.de/index.php?title=Dnssec_bind9&oldid=41420