DNS 영역 설정 및 보안 영역 업데이트 수행

tag-icon tag-icon dns bind
DNS 영역 설정 및 보안 영역 업데이트 수행

로컬 도메인 영역으로 서버를 실행하고 선택한 호스트의 영역에 동적 항목을 안전하게 추가 dns하려면 어떻게 해야 합니까 ?dns

Bind9을 사용하여 "rag.local" 도메인 설정을 시도했습니다. 를 사용하여 해당 영역에 새 레코드를 추가해 보았습니다 TSIG. 이제 괜찮아. 다음과 같이 진행하십시오.

dnssec을 사용하여 영역에 대한 키 생성

$ dnssec-keygen -r /dev/urandom -a HMAC-MD5 -b 512 -n HOST rag.local
$ ls -l 
-rw------- 1 rag rag 118 Mar  7 23:22 Krag.local.+157+26937.key
-rw------- 1 rag rag 229 Mar  7 23:22 Krag.local.+157+26937.private

.key를 /etc/bind에 복사합니다.

/etc/bind$ ls -lt
-rw-r--r-- 1 root bind  265 Mar  7 23:43 rag.local
-rw-r--r-- 1 root bind  435 Mar  7 23:35 named.conf.local
-rw------- 1 root bind  118 Mar  7 23:33 Krag.local.+157+26937.key

이름 .conf.local

/etc/bind$ cat named.conf.local 

key "rag.local." {
  algorithm hmac-md5;
  secret "secret-key";
};

zone "rag.local" {
        type master;
        file "/etc/bind/rag.local";
        allow-update { key "rag.local."; };
};

rag.local 영역 정의. 편집: 이 파일에는 이전에 해당 영역에 대한 유효한 네임서버 및 관리자 이메일이 없었습니다. 또한 영역 파일에 이름 서버의 A 레코드가 없습니다.

/etc/bind$ cat rag.local
;
; BIND data file for local loopback interface
;
$TTL    604800
@   IN  SOA ns.rag.local. admin.rag.local. (
                  2     ; Serial
             604800     ; Refresh
              86400     ; Retry
            2419200     ; Expire
             604800 )   ; Negative Cache TTL
;
@   IN  NS  ns.rag.local.
@   IN  A   127.0.0.1
ns  IN  A   127.0.0.1
@   IN  AAAA    ::1

영역 파일이 유효하지 않은 경우 다음과 같은 오류가 발생할 수 있습니다.

Mar  8 00:00:44 rag-tos-laptop named[20349]: zone rag.local/IN: journal rollforward failed: no more
Mar  8 00:00:44 rag-tos-laptop named[20349]: zone rag.local/IN: not loaded due to errors.

편집: 영역 파일을 수정한 후

Mar  8 00:23:43 rag-tos-laptop named[21469]: zone rag.local/IN: loaded serial 2
Mar  8 00:23:43 rag-tos-laptop named[21469]: zone localhost/IN: loaded serial 2

예제 nsupdate 파일

$ cat nsupdate.txt 
server localhost
debug yes
zone rag.local.
update add host1.rag.local. 3600 A 10.20.30.40
show
send

업데이트 실행

 nsupdate -k Krag.local.+157+26937.private -v nsupdate.txt

일부 권한 문제를 해결하려면 그룹에 대한 bind쓰기 액세스 권한이 필요합니다./etc/bind

감사해요

답변1

나는 그것을 해결했습니다 :

dnssec-keygen -a HMAC-MD5 -b 128 -n 호스트 example.com.

conf 파일을 편집합니다.

// TSIG Key
key "example.com." {
algorithm hmac-md5;
secret "THE KEY GENERATED ABOVE"; 
};
zone "example.com" IN {
  type master;
  file "example.com.zone";
  allow-update{ key "example.com."; };
};

추가해야 할 단계입니다

/var/named 폴더에 이름 지정 권한을 부여합니다.

# chown -R named:named /var/named
# find . -type d -exec chmod 770 {} \;
# find . -type f -exec chmod 660 {} \;

참고: nsupdate를 사용한 후 다음 단계를 사용하여 영역을 다시 로드해야 합니다.

rndc freeze example.com

then reloading

rndc reload example.com  

then allowing dynamic updates again:

rndc thaw example.com

관련 정보