Настройка автоматической подписи DNSSEC

Обновление софта

В gentoo снимаем маску с пакета и обновляемся

/etc/portage/package.keywords/system
=net-dns/bind-9.9.0

Подготовка ключей

Далее создаём директорию, в которой будут храниться наши ключи

cd /chroot/dns/etc/bind/
mkdir keys

Генерим сами ключи и раздаём на них права (это ОЧЕНЬ! долгая операция)

cd /chroot/dns/etc/bind/keys/
for zone in sabitov.su ; do 
    dnssec-keygen ${zone} ;
    dnssec-keygen -fk ${zone} ;
done ;
chmod g+r K*.private
chown root:named K*.private
ls -lhA

В результате получаем список файлов *.key c правами

-rw-r--r-- 1 root root

и список файлов *.private c правами

-rw-r----- 1 root named

Настройка DNS сервера

В /chroot/dns/etc/bind/named.conf добавляем опции для проверки чужих подписей резолвером и включаем автоматическое подписание наших зон:

/chroot/dns/etc/bind/named.conf
options {
        ... // уже имеющиеся опции
        // поддержка DNSSEC-проверки на стороне резолвера
        dnssec-enable yes;
        dnssec-validation yes;
}
 
zone "sabitov.su" {
 
        ... // уже имеющиеся опции
 
        file "pri/sabitov.su";
 
        key-directory "/etc/bind/keys";
        auto-dnssec maintain;
        inline-signing yes;
};

Проверяем, что директория с файлами зон доступна демону на запись и рестартуем демон:

cd /chroot/dns/var/bind
ls -lhd pri 
drwxrwx--- 2 root named .............
/etc/init.d/named restart

Проверяем, что bind подписал зоны:

cd pri
ls -lhA
-rw-r--r-- 1 root  root  1,3K Сен  9  2011 sabitov.su
-rw-r--r-- 1 named named  512 Мар 22 11:52 sabitov.su.jbk
-rw-r--r-- 1 named named  11K Мар 22 12:08 sabitov.su.signed
-rw-r--r-- 1 named named  13K Мар 22 11:56 sabitov.su.signed.jnl

Проверяем, что bind отдаёт подписанные данные:

dig +dnssec +noall +answer @localhost -t SOA sabitov.su 
sabitov.su.             800     IN      SOA     ns1.sabitov.su. root.sabitov.su. 1109090906 400 400 800 400
sabitov.su.             800     IN      RRSIG   SOA 5 2 800 20120421045630 20120322035630 23268 sabitov.su. z2eyRYVc6It60pUhN+WJvjYTL1psvi4A6sZOiSYvfe34z8lV0wbHr4t5 lzWs8OV7xFAXJKvNCAoAjsKtIoKbMnrrXoKCa5jxnKLRKpv/vyGpC8OL bIawzjjcTHeEdEls1UH0F74e3bzolSNOwnjSdbCATljWFXDCGV6tLaS+ J0A=

sys/настройка_dnssec.txt · Последние изменения: 2012-03-27 10:51 — Andrew A. Sabitov