DNSSEC Linux - BIND Torbjörn Eklöv Interlan. Hidden master Slave Hidden master 10.1.1.10 Slave 10.1.2.10 Notify Zone-transfer.

En presentation över ämnet: "DNSSEC Linux - BIND Torbjörn Eklöv Interlan. Hidden master Slave Hidden master 10.1.1.10 Slave 10.1.2.10 Notify Zone-transfer."— Presentationens avskrift:

1 DNSSEC Linux - BIND Torbjörn Eklöv Interlan

2 Hidden master Slave Hidden master 10.1.1.10 Slave 10.1.2.10 Notify Zone-transfer

3 Hidden Master

4 Kataloger och filer /etc/bind => named.conf ligger här och är huvudkonfig-fil för BIND i Ubuntu – ändra den enligt nästa sida /var/cache/bind => Här skapar vi en katalog / domän som vi ska ha. Ex. mkdir kommundomän.se. Lägg sedan kommunens zonfil i filen zone.db – det är den vi arbetar med sedan. Kopiera zone.db till zone.db.signed FÖRSTA gången innan ni kör zkt-signer

5 Ubuntu 12.04 Hidden master Ändra /etc/bind/named.conf till => 10.1.2.10 är IP-adressen till slaven options { directory "/var/cache/bind”; allow-transfer { 10.1.2.10; }; also-notify { 10.1.2.10; }; listen-on-v6 { any; }; dnssec-enable yes; }; zone ”kommundomän.se." { type master; file ”kommundomän.se./zone.db.signed”; };

6 /var/cache/bind/kommundomän.se./zone.db Skapa sedan katalogen /var/cache/bind/kommundomän.se. och lägg kommunens zonfil I zone.db ( Det är en bild nedan för det är viktigt att ( är på första raden i SOA och PPT vill inte det. Ta den zonfil ni har idag och justera SOA expire samt lägg in $INCLUDE dnskey.db som nedan ( Ursäkta att det står svenljunga! )

7 Skapa dnssec.conf i /var/cache/bind Nu rättad med bra världen # dnssec.conf Zonedir: "/var/cache/bind/" Recursive: True PrintTime: False PrintAge: True LeftJustify: False # zone specific values ResignInterval: 2d Sigvalidity: 60d Max_TTL: 8h Propagation: 5m KEY_TTL: 1h Serialformat: incremental # signing key parameters KSK_algo N3RSASHA256 KSK_lifetime: 6000d KSK_bits: 2048 KSK_randfile: "/dev/urandom" ZSK_algo N3RSASHA256 ZSK_lifetime: 60d ZSK_bits: 1536 ZSK_randfile: "/dev/urandom" SaltBits: 24 # dnssec-signer options LogFile: ”” LogLevel: NOTICE SyslogFacility: USER SyslogLevel: NOTICE VerboseLog: 1 Keyfile: "dnskey.db" Zonefile: "zone.db" KeySetDir: "." DLV_Domain: "" Sig_Pseudorand: True Sig_GenerateDS: True Sig_Parameter: "-n 1 -H 5 -3 fa37”

8 zone.db -> zone.db.signed Vi editerar zone.db som blir signerad i zone.db.signed cd /var/cache/bind Kör zkt-signer -c./dnssec.conf -r -N /etc/bind/named.conf Går allt bra så har det skapats ett gäng filer i kommundomän.se. katalogen Testa med dig +dnssec testdomain.se @localhost

9 Slave – ns.kommun.se

10 Ubuntu 12.04 Slave Ändra /etc/bind/named.conf till => options { directory "/var/cache/bind”; allow-transfer { none; }; also-notify { 81.228.10.68; }; ( här dns6.telia.com ) listen-on-v6 { any; }; allow-recursion { none; }; dnssec-enable yes; }; zone ”testdomain.se." { type slave; masters { 10.1.1.10; }; file ”testdomain.se./zone.db”; };

11 dig dig +dnssec testdomain.se @localhost