DNSSEC Linux - BIND Torbjörn Eklöv Interlan
Hidden master Slave Hidden master Slave Notify Zone-transfer
Hidden Master
Kataloger och filer /etc/bind => named.conf ligger här och är huvudkonfig-fil för BIND i Ubuntu – ändra den enligt nästa sida /var/cache/bind => Här skapar vi en katalog / domän som vi ska ha. Ex. mkdir kommundomän.se. Lägg sedan kommunens zonfil i filen zone.db – det är den vi arbetar med sedan. Kopiera zone.db till zone.db.signed FÖRSTA gången innan ni kör zkt-signer
Ubuntu Hidden master Ändra /etc/bind/named.conf till => är IP-adressen till slaven options { directory "/var/cache/bind”; allow-transfer { ; }; also-notify { ; }; listen-on-v6 { any; }; dnssec-enable yes; }; zone ”kommundomän.se." { type master; file ”kommundomän.se./zone.db.signed”; };
/var/cache/bind/kommundomän.se./zone.db Skapa sedan katalogen /var/cache/bind/kommundomän.se. och lägg kommunens zonfil I zone.db ( Det är en bild nedan för det är viktigt att ( är på första raden i SOA och PPT vill inte det. Ta den zonfil ni har idag och justera SOA expire samt lägg in $INCLUDE dnskey.db som nedan ( Ursäkta att det står svenljunga! )
Skapa dnssec.conf i /var/cache/bind Nu rättad med bra världen # dnssec.conf Zonedir: "/var/cache/bind/" Recursive: True PrintTime: False PrintAge: True LeftJustify: False # zone specific values ResignInterval: 2d Sigvalidity: 60d Max_TTL: 8h Propagation: 5m KEY_TTL: 1h Serialformat: incremental # signing key parameters KSK_algo N3RSASHA256 KSK_lifetime: 6000d KSK_bits: 2048 KSK_randfile: "/dev/urandom" ZSK_algo N3RSASHA256 ZSK_lifetime: 60d ZSK_bits: 1536 ZSK_randfile: "/dev/urandom" SaltBits: 24 # dnssec-signer options LogFile: ”” LogLevel: NOTICE SyslogFacility: USER SyslogLevel: NOTICE VerboseLog: 1 Keyfile: "dnskey.db" Zonefile: "zone.db" KeySetDir: "." DLV_Domain: "" Sig_Pseudorand: True Sig_GenerateDS: True Sig_Parameter: "-n 1 -H 5 -3 fa37”
zone.db -> zone.db.signed Vi editerar zone.db som blir signerad i zone.db.signed cd /var/cache/bind Kör zkt-signer -c./dnssec.conf -r -N /etc/bind/named.conf Går allt bra så har det skapats ett gäng filer i kommundomän.se. katalogen Testa med dig +dnssec
Slave – ns.kommun.se
Ubuntu Slave Ändra /etc/bind/named.conf till => options { directory "/var/cache/bind”; allow-transfer { none; }; also-notify { ; }; ( här dns6.telia.com ) listen-on-v6 { any; }; allow-recursion { none; }; dnssec-enable yes; }; zone ”testdomain.se." { type slave; masters { ; }; file ”testdomain.se./zone.db”; };
dig dig +dnssec