Linux и Windows: помощь админам и пользователям

Администрируем и настраиваем Windows, Linux.



Безопасная передача DNS зон

Рубрика: Сети
Метки: |
Четверг, 28 января 2010 г.
Просмотров: 10078
Подписаться на комментарии по RSS

Устанавливаем bind-chroot на оба сервера:

# yum install bind-chroot

Выполняем следующую команду на Primary DNS сервере

# dnssec-keygen -a HMAC-MD5 -b 128 -n HOST master-slave
   Kmaster-slave.+157+50029

В результате получаем имя файла, содержащего наш новый ключ: в этом примере это Kmaster-slave.+157+50029.private. Номер это алгоритм DNSSEC (157=HMACMD5), и отпечаток ключа (50029).

Из ключа Kmaster-slave+157.50029.private извлекаем наш обший ключ:

# cat Kmaster-slave+157.50029.private
   Private-key-format: v1.2
   Algorithm: 157 (HMAC_MD5)
   Key: axdafafFTdafaCSDF090DSDs==

Здесь ключ это axdafafFTdafaCSDF090DSDs==; у вас данное значение будет отличаться. Данное значение нам понадобиться в дальнейшем.

На обоих серверах создайте новый файл с именем /var/named/chroot/etc/transfer.key и следующим содержимым:

key "master-slave." {
   algorithm hmac-md5;
   secret "axdafafFTdafaCSDF090DSDs==";
   };

Защитите содержимое данного файла, чтобы только демон named мог читать из него и только root писать:

# chown root:named /var/named/chroot/etc/transfer.key
# chmod 640 /var/named/chroot/etc/transfer.key
# ln -s /var/named/chroot/etc/transfer.key /etc/transfer.key

На обоих серверах добавьте в самый верх файла /var/named/chroot/etc/named.conf следующую строку:

include "/etc/transfer.key";

На slave сервере запретите передачу зон отовсюду.

options {
   allow-transfer { none; };

Добавьте в named.conf вторичного сервера следующие строки:

include "/etc/transfer.key";
   server 208.67.222.22 {
   keys { master-slave.; };
   };

На основном сервере измените опции относящиеся к передаче зоны следующим образом:

# vi /etc/named.conf
include "/etc/transfer.key";
   options {
   listen-on port 53 { 127.0.0.1; 192.168.1.1; 208.67.222.22; };
   listen-on-v6 port 53 { ::1; };
   directory "/var/named";
   dump-file "/var/named/data/cache_dump.db";
   statistics-file "/var/named/data/named_stats.txt";
   memstatistics-file "/var/named/data/named_mem_stats.txt";
   query-source port 53;
   query-source-v6 port 53;
   allow-query { localhost; any; };
   allow-transfer { key master-slave.; };
   allow-notify { 208.67.222.23; };
   version "Bind";
 };

Теперь перегрузите оба сервера.

 

 

Это интересно:

Качественное и недорогое обучение за рубежом английскому языку. Очень полезный ресурс для изучающих английский язык - интересные статьи, подбор языковых школ за рубежом.

twitter.com facebook.com vkontakte.ru odnoklassniki.ru mail.ru ya.ru rutvit.ru myspace.com technorati.com digg.com friendfeed.com pikabu.ru blogger.com liveinternet.ru livejournal.ru memori.ru google.com bobrdobr.ru mister-wong.ru yahoo.com yandex.ru del.icio.us

Оставьте комментарий!

Используйте нормальные имена.

Имя и сайт используются только при регистрации

Если вы уже зарегистрированы как комментатор или хотите зарегистрироваться, укажите пароль и свой действующий email. При регистрации на указанный адрес придет письмо с кодом активации и ссылкой на ваш персональный аккаунт, где вы сможете изменить свои данные, включая адрес сайта, ник, описание, контакты и т.д., а также подписку на новые комментарии.

(обязательно)