Dnssec bind9: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
Zeile 38: Zeile 38:
 
*'''dnssec-keygen -3 -a NSEC3RSASHA1 -b 2048 -n ZONE kit.lab'''
 
*'''dnssec-keygen -3 -a NSEC3RSASHA1 -b 2048 -n ZONE kit.lab'''
 
*'''chown -R bind:bind /etc/bind/keys/'''
 
*'''chown -R bind:bind /etc/bind/keys/'''
 +
=/etc/bind/named.conf.local=
 +
*'''cat /etc/bind/named.conf.local'''
 +
zone "kit.lab" {
 +
        type master;
 +
        file "kit.lab";
 +
};
  
 
=Quellen=
 
=Quellen=
 
*https://www.linuxmaker.com/linux/bind9-mit-dnssec-absichern/konfiguration-von-dnssec.html
 
*https://www.linuxmaker.com/linux/bind9-mit-dnssec-absichern/konfiguration-von-dnssec.html

Version vom 14. Februar 2023, 16:38 Uhr

Grundkonfiguration

  • cat /etc/bind/named.conf.options
options {
	directory "/var/cache/bind";
        key-directory "/var/bind/keys";
	dnssec-validation auto;
};

Verzeichnis erstellen

  • mkdir -p /etc/bind/keys/
  • chown -R bind:bind /etc/bind/keys/

Key Signing Key (KSK) generieren

  • cd /etc/bind/keys/
  • dnssec-keygen -3 -a RSASHA512 -b 4096 -n ZONE -f KSK kit.lab
Option Wirkung
-3 aktiviert das gewünschte NSEC3
-a bestimmt den Typ der Signatur
-b gibt die gewünschte Blockgröße an
-n spezifiziert den Nametyp wie ZONE, HOST, USER
-f speziell für KSK muss diese Flag gesetzt werden

Zone Signing Key (ZSK) generieren

Den Zone Signing Key erzeugt man im Anschluß daran wie folgt, gefolgt von einer Neuzuordnung der Dateiattribute.

  • dnssec-keygen -3 -a NSEC3RSASHA1 -b 2048 -n ZONE kit.lab
  • chown -R bind:bind /etc/bind/keys/

/etc/bind/named.conf.local

  • cat /etc/bind/named.conf.local
zone "kit.lab" {
        type master;
        file "kit.lab";
};

Quellen

Abgerufen von „http://wiki.ixheim.de/index.php?title=Dnssec_bind9&oldid=41419