Pseudo second level domain von Basics zu DNSEC: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
Zeile 18: Zeile 18:
  
 
==/etc/bind/named.conf.local==
 
==/etc/bind/named.conf.local==
<pre>
+
  zone "it2XX.int" {
//Standardmässig leer
+
        type master;
//Hier werden die sogenanten Zonen angelegt.
+
        <span style="color:red">'''file "it2XX.int.signed";'''</śpan>
zone "it2XX.int" {
+
        };
        type master;
+
  zone "2XX.88.10.in-addr.arpa" {
        file "it2XX.int.signed";
+
        type master;
        };
+
        file "2XX.88.10.in-addr.arpa";
  zone "2XX.88.10.in-addr.arpa" {
+
      };
        type master;
+
 
        file "2XX.88.10.in-addr.arpa";
 
      };
 
</pre>
 
 
=DNSSEC Schlüssel erzeugen=
 
=DNSSEC Schlüssel erzeugen=
 
;Forward Zone
 
;Forward Zone

Version vom 2. Juni 2026, 14:38 Uhr

Trust Anker einfügen

/etc/bind/named.conf.options

Berechtigungen und Einschränkungen

options {
  directory "/var/cache/bind";
  forwarders { <DNSGW>; };
  allow-query { 0.0.0.0/0; };
  allow-recursion { 10.88.2XX.0/24; 172.26.2XX.0/24; 10.2XX.1.0/24; 172.20.2XX.0; 127.0.0.1; };
  allow-transfer {127.0.0.1; };
  dnssec-validation yes;
  empty-zones-enable no;
  listen-on-v6 { none; };
  listen-on { any; };
};

/etc/bind/named.conf.local

 zone "it2XX.int" {
        type master;
        file "it2XX.int.signed";</śpan>
        };
  zone "2XX.88.10.in-addr.arpa" {
        type master;
        file "2XX.88.10.in-addr.arpa";
      };

DNSSEC Schlüssel erzeugen

Forward Zone
  • dnssec-keygen -a ECDSAP256SHA256 -n ZONE it2XX.int
  • dnssec-keygen -a ECDSAP256SHA256 -f KSK -n ZONE it2XX.int

DNSKEY einbinden

Forward
  • for k in Kit2XX.int.+*.key ; do echo "\$INCLUDE $k" >> /var/cache/bind/it2XX.int; done

Zonen signieren

  • dnssec-signzone -A -N INCREMENT -o it2XX.int -t /var/cache/bind/it2XX.int
Erzeugt
/var/cache/bind/it2XX.int.signed
  • systemctl restart named

DS Record für Fake Root erzeugen

DS aus signierter Zone erzeugen
  • dnssec-dsfromkey -f /var/cache/bind/it2XX.int.signed it2XX.int
DS Eintrag an Fake Root weitergeben
Im Fake Root in Zone int einfügen
Beispiel
it2XX IN NS ns.it2XX.int.
ns.it2XX.int. IN A 10.88.2XX.21
it2XX.int. IN DS 12345 13 2 ABCDEF123456....
Danach Fake Root neu signieren
  • cd /var/cache/bind
  • dnssec-signzone -A -N INCREMENT -o int int
  • rndc reload

Nur einmalig bei der Ersteinrichtung oder nach KSK-Wechsel notwendig über den dnssec-dsfromkey-Befehl.

Handling und Logging

  • systemctl restart named
  • journalctl -fu named
  • journalctl -u bind9 -g it2XX.int

Validierungstest

Forward Validierung
  • dig www.it2XX.int +dnssec
Antwort muss AD-Flag enthalten

Status

  • systemctl status named

Logs

Aktualisierte Log von named
  • journalctl -fu named
Die letzten 20 Log Zeilen vom named
  • journalctl -n 20 -u named
Aktualisierte Log von named plus grepen nach it2XX
  • journalctl -fu named -g it2XX

Sind die Ports geöffnet

  • ss -lntpu | grep named

Tests

Abgerufen von „http://wiki.ixheim.de/index.php?title=Pseudo_second_level_domain_von_Basics_zu_DNSEC&oldid=70517