Настройка автоматической подписи DNSSEC
Обновление софта
В gentoo снимаем маску с пакета и обновляемся
- /etc/portage/package.keywords/system
=net-dns/bind-9.9.0
Подготовка ключей
Далее создаём директорию, в которой будут храниться наши ключи
cd /chroot/dns/etc/bind/ mkdir keys
Генерим сами ключи и раздаём на них права (это ОЧЕНЬ! долгая операция)
cd /chroot/dns/etc/bind/keys/ for zone in sabitov.su ; do dnssec-keygen ${zone} ; dnssec-keygen -fk ${zone} ; done ; chmod g+r K*.private chown root:named K*.private ls -lhA
В результате получаем список файлов *.key c правами
-rw-r--r-- 1 root root
и список файлов *.private c правами
-rw-r----- 1 root named
Настройка DNS сервера
В /chroot/dns/etc/bind/named.conf добавляем опции для проверки чужих подписей резолвером и включаем автоматическое подписание наших зон:
- /chroot/dns/etc/bind/named.conf
options { ... // уже имеющиеся опции // поддержка DNSSEC-проверки на стороне резолвера dnssec-enable yes; dnssec-validation yes; } zone "sabitov.su" { ... // уже имеющиеся опции file "pri/sabitov.su"; key-directory "/etc/bind/keys"; auto-dnssec maintain; inline-signing yes; };
Проверяем, что директория с файлами зон доступна демону на запись и рестартуем демон:
cd /chroot/dns/var/bind ls -lhd pri drwxrwx--- 2 root named ............. /etc/init.d/named restart
Проверяем, что bind подписал зоны:
cd pri ls -lhA -rw-r--r-- 1 root root 1,3K Сен 9 2011 sabitov.su -rw-r--r-- 1 named named 512 Мар 22 11:52 sabitov.su.jbk -rw-r--r-- 1 named named 11K Мар 22 12:08 sabitov.su.signed -rw-r--r-- 1 named named 13K Мар 22 11:56 sabitov.su.signed.jnl
Проверяем, что bind отдаёт подписанные данные:
dig +dnssec +noall +answer @localhost -t SOA sabitov.su sabitov.su. 800 IN SOA ns1.sabitov.su. root.sabitov.su. 1109090906 400 400 800 400 sabitov.su. 800 IN RRSIG SOA 5 2 800 20120421045630 20120322035630 23268 sabitov.su. z2eyRYVc6It60pUhN+WJvjYTL1psvi4A6sZOiSYvfe34z8lV0wbHr4t5 lzWs8OV7xFAXJKvNCAoAjsKtIoKbMnrrXoKCa5jxnKLRKpv/vyGpC8OL bIawzjjcTHeEdEls1UH0F74e3bzolSNOwnjSdbCATljWFXDCGV6tLaS+ J0A=