sys:настройка_dnssec [Моя склеротичка]

Эта страница только для чтения. Вы можете посмотреть её исходный текст, но не можете его изменить. Сообщите администратору, если считаете, что это неправильно.

====== Настройка автоматической подписи DNSSEC ======

===== Обновление софта =====

В gentoo снимаем маску с пакета и обновляемся
<file bash /etc/portage/package.keywords/system>
=net-dns/bind-9.9.0
</file>

===== Подготовка ключей =====

Далее создаём директорию, в которой будут храниться наши ключи
<code bash>

cd /chroot/dns/etc/bind/
mkdir keys
</code>

Генерим сами ключи и раздаём на них права (это __**ОЧЕНЬ!**__ долгая операция)
<code bash>
cd /chroot/dns/etc/bind/keys/
for zone in sabitov.su ; do 
    dnssec-keygen ${zone} ;
    dnssec-keygen -fk ${zone} ;
done ;
chmod g+r K*.private
chown root:named K*.private
ls -lhA
</code>

В результате получаем список файлов *.key c правами 
<code bash>
-rw-r--r-- 1 root root
</code>
и список файлов *.private c правами 
<code bash>
-rw-r----- 1 root named
</code>

===== Настройка DNS сервера =====

В /chroot/dns/etc/bind/named.conf добавляем опции для проверки чужих подписей резолвером и включаем автоматическое подписание наших зон:

<file bind /chroot/dns/etc/bind/named.conf>
options {
        ... // уже имеющиеся опции
        // поддержка DNSSEC-проверки на стороне резолвера
        dnssec-enable yes;
        dnssec-validation yes;
}

zone "sabitov.su" {

        ... // уже имеющиеся опции

        file "pri/sabitov.su";

        key-directory "/etc/bind/keys";
        auto-dnssec maintain;
        inline-signing yes;
};
</file>

Проверяем, что директория с файлами зон доступна демону на запись и рестартуем демон:
<code bash>
cd /chroot/dns/var/bind
ls -lhd pri 
drwxrwx--- 2 root named .............
/etc/init.d/named restart
</code>

Проверяем, что bind подписал зоны:
<code bash>
cd pri
ls -lhA
-rw-r--r-- 1 root  root  1,3K Сен  9  2011 sabitov.su
-rw-r--r-- 1 named named  512 Мар 22 11:52 sabitov.su.jbk
-rw-r--r-- 1 named named  11K Мар 22 12:08 sabitov.su.signed
-rw-r--r-- 1 named named  13K Мар 22 11:56 sabitov.su.signed.jnl
</code>

Проверяем, что bind отдаёт подписанные данные:
<code bash>
dig +dnssec +noall +answer @localhost -t SOA sabitov.su 
sabitov.su.             800     IN      SOA     ns1.sabitov.su. root.sabitov.su. 1109090906 400 400 800 400
sabitov.su.             800     IN      RRSIG   SOA 5 2 800 20120421045630 20120322035630 23268 sabitov.su. z2eyRYVc6It60pUhN+WJvjYTL1psvi4A6sZOiSYvfe34z8lV0wbHr4t5 lzWs8OV7xFAXJKvNCAoAjsKtIoKbMnrrXoKCa5jxnKLRKpv/vyGpC8OL bIawzjjcTHeEdEls1UH0F74e3bzolSNOwnjSdbCATljWFXDCGV6tLaS+ J0A=

</code>