DNS BIND之dnssec安全实例配置-根节点_slimina的博客-CSDN博客
DNS BIND之dnssec安全实例配置-根节点
slimina
于 2015-04-17 22:15:46 发布
6368
收藏
分类专栏：
DNS/DHCP
DNS BIND学习与应用
文章标签：
DNS
版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。
本文链接：https://blog.csdn.net/zhu_tianwei/article/details/45075577
版权
DNS/DHCP
同时被 2 个专栏收录
30 篇文章
4 订阅
订阅专栏
DNS BIND学习与应用
29 篇文章
38 订阅
订阅专栏
上一节我们对dnssec有了一定的认识，下面我们通过实例来说明尝试一下dnssec的配置。关于bind的安装参考：DNS BIND安装测试
环境如下：
递归解析服务器：192.168.13.45
权威服务器根节点：192.168.13.103
权威服务器dev节点：192.168.110.71
递归服务--->根节点(.)--->dev节点(dev.)
一、权威服务器配置
1.修改named.conf配置
key "rndc-key" {
algorithm hmac-md5;
secret "bRKv62iy/I7RoNNOl0dW2A==";
};
controls {
inet 127.0.0.1 port 953
allow { 127.0.0.1; } keys { "rndc-key"; };
};
options{
listen-on port 53{
192.168.13.103;
};
version "vdns3.0";
directory "/var/named";
pid-file "/var/run/named.pid";
session-keyfile "/var/run/session.key";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
rrset-order {
order cyclic;
};
recursion no;
allow-query{
any;
};
allow-query-cache{
any;
};
allow-transfer{
none;
};
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
};
logging {
channel default_debug {
file "/var/named/data/named.run";
severity dynamic;
};
channel queries_info {
file "/var/named/log/query.log" versions 1 size 100m;
severity info;
print-category yes;
print-severity yes;
print-time yes;
};
category queries {
queries_info;
default_debug;
};
channel notify_info {
file "/var/named/log/notify.log" versions 8 size 128m;
severity info;
print-category yes;
print-severity yes;
print-time yes;
};
category notify {
notify_info;
default_debug;
};
channel dnssec_debug {
file "/var/named/log/dnssec.log" versions 1 size 100m;
print-time yes;
print-category yes;
print-severity yes;
severity debug 3;
};
category dnssec {
dnssec_debug;
};
};
zone "." in {
type hint;
file "root.zone";
};
增加开启dnssec选项，关闭递归服务。
2.dnssce配置实例 1）生成签名密钥对 # cd /var/named 首先为区（zone）文件生成密钥签名密钥KSK：  # ~/bind/sbin/dnssec-keygen -f KSK -a RSASHA1 -b 512 -n ZONE .  #注意结尾的点别遗漏 将生成文件K.+005+62317.key和K.+005+62317.private 然后生成区签名密钥ZSK： # ~/bind/sbin/dnssec-keygen -a RSASHA1 -b 512 -n ZONE . 将生成文件K.+005+62541.key和K.+005+62541.private 2）签名 a.签名之前将前面生成的两个公钥添加到区域配置文件末尾(root.zone)
$TTL 86400
@ IN SOA @ root (
12169
1m
1m
1m
1m )
. IN NS root.ns.
root.ns. IN A 192.168.13.103
dev. IN NS ns.dev.
ns.dev. IN A 192.168.110.71
$INCLUDE "K.+005+62541.key"
$INCLUDE "K.+005+62317.key"
b.然后执行签名操作 # ~/bind/sbin/dnssec-signzone  -o  .  root.zone 上面的-o选项指定代签名区的名字. 将生成root.zone.signed c.修改主配置文件 zone "." IN {           type master;  
        file "root.zone.signed";  
allow-transfer {none;};
};
检查配置是否正确：
/home/slim/bind/sbin/named-checkconf -t /home/slim/chroot/ /etc/named.conf
3.启动服务
/home/slim/bind/sbin/named -u slim -t /home/slim/chroot/ -c /etc/named.conf
二、递归解析服务器配置
1.修改named.conf配置
key "rndc-key" {
algorithm hmac-md5;
secret "D6ShqDKzLPtbHxko0TqgrQ==";
};
controls {
inet 127.0.0.1 port 953
allow { 127.0.0.1; } keys { "rndc-key"; };
};
options{
listen-on port 53{
192.168.13.45;
};
version "vdns3.0";
directory "/var/named";
pid-file "/var/run/named.pid";
session-keyfile "/var/run/session.key";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
rrset-order {
order cyclic;
};
recursion yes;
allow-recursion {
any;
};
allow-query{
any;
};
allow-query-cache{
any;
};
allow-transfer{
none;
};
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
};
logging {
channel default_debug {
file "/var/named/data/named.run";
severity dynamic;
};
channel queries_info {
file "/var/named/log/query.log" versions 1 size 100m;
severity info;
print-category yes;
print-severity yes;
print-time yes;
};
category queries {
queries_info;
default_debug;
};
channel notify_info {
file "/var/named/log/notify.log" versions 8 size 128m;
severity info;
print-category yes;
print-severity yes;
print-time yes;
};
category notify {
notify_info;
default_debug;
};
channel dnssec_debug {
file "/var/named/log/dnssec.log" versions 1 size 100m;
print-time yes;
print-category yes;
print-severity yes;
severity debug 3;
};
category dnssec {
dnssec_debug;
};
};
zone "." in {
type hint;
file "root.zone";
};需开启递归服务（recursion yes;），
在末尾添加信任锚
include "/var/named/trust-anchors.conf";
2.创建“信任锚”文件 # cd /var /named
# vi trust-anchors.conf
trusted-keys {
"." 256 3 5 "AwEAAdlhCey/l4T7PQRkBZ2uFixLCpwOdz9bgAMGbNTRApiey9On/qIu uBuEcCvArTYti944ErPPco+fcBawCmYordU=";
"." 257 3 5 "AwEAAdQah+KmO0vMSYHtx/TxBzBjqif524nuFow5bp5Zc+pDO9tLrX3Y SrVpuddSx+utRZLVzcI3JeFQtjaBa8OfXH0=";
};
其中的密钥部分是将权威服务器生成的K.+005+62317.key和K.+005+62541.key中密钥部分拷贝过来。
3.根zone（root.zone）
$TTL 86400
@ IN SOA @ root (
12169
1m
1m
1m
1m )
. IN NS root.ns.
root.ns. IN A 192.168.13.103配置NS指向根（“.”）的服务器地址。
4.启动服务
/home/slim/bind/sbin/named -u slim -t /home/slim/chroot/ -c /etc/named.conf
三、测试
在递归解析服务器测试。
dig @192.168.13.45  +dnssec .  NS
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.el6_6.2 <<>> @192.168.13.45 +dnssec . NS
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 362
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;. IN NS
;; ANSWER SECTION:
. 85830 IN NS root.ns.
. 85830 IN RRSIG NS 5 0 86400 20150517041910 20150417041910 62541 . udUss1t7llZeYZAbsi8/ITPwVFAy8cB3BpyAyiVLQjRRCtKOSNS7V1H/ jzMdzJ+d62EfdC+hABrX9200Dpnung==
;; Query time: 1 msec
;; SERVER: 192.168.13.45#53(192.168.13.45)
;; WHEN: Fri Apr 17 00:25:18 2015
;; MSG SIZE rcvd: 142其中flags部分有ad,说明DNSSEC启用并通过验证，可以在dig添加+cdflag参数进行调试DNSSEC。
但是此时如果执行
dig @192.168.13.45  +dnssec dev. NS
查询失败或报“信任链受损”。
注意：如果要配置从服务器，只需要在options中添加添加开启dnssec选项，并删除原有的根zone，重启服务。 
slimina
关注
关注
点赞
收藏
打赏
评论
DNS BIND之dnssec安全实例配置-根节点
上一节我们对dnssec有了一定的认识，下面我们通过实例来说明尝试一下dnssec的配置。
复制链接
扫一扫
专栏目录
BIND9私有DNS服务器中使用DNSSEC
juneman的专栏
08-22
3950
DNSSEC是为解决DNS欺骗和缓存污染而设计的一种安全机制。本文简要描述在BIND上的DNSSEC配置。
参与评论
您还未登录，请先
登录
后发表或查看评论
DNS BIND之dnssec安全实例配置-dev节点(dev.)
任何技能都是从模仿开始，逐步升华。
04-17
2111
上一节我们演示了根节点的dnssec配置，下面我们配置dev节点的dnssec。
DNS服务器配置
weixin_45589713的博客
02-12
498
linux搭建dns服务器
需求如下：配置域名:test.com—>192.168.114.2
修改以下文件：
/etc/named.conf
/var/named/named.domain.zones
/var/named/named.自定义域名.zone，如：/var/named/named.test.com.zone
第一步：编辑/var/named/named.test.com.zone，内容如下
$TTL 1D
@ IN SOA @ rname.invalid. (
DNSSEC 原理、配置与布署简介
syh_486_007的专栏
03-27
2696
DNSSEC 原理、配置与布署简介
Posted on May 16,2011 by Duan
Haixin
作者：段海新，清华大学信息网络工程研究中心
摘要：DNSSEC是为解决DNS欺骗和缓存污染而设计的一种安全机制。本文概要介绍DNSSEC的背景、工作原理、在BIND上的配置，最后介绍国际上的布署情况和它可能对互联网安全体系的影响。
1 DNSSEC的背景和目的
域名系统（D
巧妙运用DNS及其安全扩展DNSSec
cpongo21111
12-20
955
启迪云-高级开发工程师 王文翔 | 文背景域名系统(DNS)是一个为连接到互联网或者私有网络的计算机，服务或者其它资源提供命名服务的层级化的分布式系统。自从1985年以来，DNS做为互联网中一个重要组成部分，已经被广泛被使用，同时DNS做为一种标准协议，处于TCP/IP的应用层。当前全球域名由ICANN统一进行协调，国家或者域名提供商从ICANN申请到顶级域名后，再面向企事业，个人或组织开放注册。...
DNS的部署（BIND）的经验之谈 （有常见报错总结）
weixin_49315122的博客
08-21
2817
这里不介绍DNS的基础知识，只关于DNS部署相关的内容
首先理解两个概念： 递归请求和迭代请求
所谓递归请求：即为DNS服务器要去DNS的根服务器一层一层的请求下来（相当消耗资源）
所谓迭代请求：DNS服务器从自己负责的区域这一层或往下就能找到（不需要去DNS根服务器找）
本机主DNS服务器：192.168.150.129
从DNS服务器：192.168.150.130
子域DNS服务器：192.168.150.131
BIND的基础安装
(1)yum安装BIND安装包
yum.
DNS作用及安装
fallchyy的博客
06-30
91
Linux dns安装及作用
Linux 网络服务 05——DNS 域名解析服务(二)
最新发布
Ddddzz_的博客
07-20
221
手把手教学Linux~
DNS BIND之dnssec安全介绍
热门推荐
任何技能都是从模仿开始，逐步升华。
04-16
2万+
Domain Name System Security Extensions (DNSSEC)DNS安全扩展，是由IETF提供的一系列DNS安全认证的机制（可参考RFC2535）。它提供了一种来源鉴定和数据完整性的扩展，但不去保障可用性、加密性和证实域名不存在。DNSSEC是为解决DNS欺骗和缓存污染而设计的一种安全机制。
DNS(Domain Name System)之dnssec安全的简单介绍
kuangfeng的博客
05-21
1425
DNS(Domain Name System)之dnssec安全
深入浅出DNS系列（十）- DNSSEC
jiangsd198的博客
03-13
3788
dnssec是dns协议的安全加密版本，但实际上发展得非常缓慢，要实现dnssec的所描述的安全，解析库、localdns、SOA服务器都必须实现dnssec才行。
DNSSEC 实战
sysin | SYStem INside
12-22
3100
DNSSEC 全称 Domain Name System Security Extensions，即 DNS 安全扩展，是由 IETF 提供的一系列 DNS 安全认证的机制（可参考 RFC2535）。它提供一种可以验证应答信息真实性和完整性的机制，利用密码技术，使得域名解析服务器可以验证它所收到的应答（包括域名不存在的应答）是否来自于真实的服务器，或者是否在传输过程中被篡改过。
linux 配置DNS正反区域,Linux基础服务_DNS原理以及正反向DNS配置
weixin_42416490的博客
05-14
315
DNS服务的原理介绍：dns(Domain Name Service，域名解析服务) 为c/s架构的服务通常默认的监听的端口为：53/tcp 53/udp将dns服务实现的应用程序为：bind (rpm包 )DNS的树状结构：根域为：.tld：(Top Level Domain 顶级域)组织域：.com, .net, .org, .gov, .edu, .mil国家域...
使用bind实现DNS服务
weixin_44358770的博客
06-01
653
安装bind9
sudo apt install bind9
创建一个权威侧zone文件/etc/bind/example.com.zone
域文件 zone file由指令directives 和资源记录resource records组成。指令指定名称服务器执行任务或者在该区域中应用特殊设置；资源记录定义该区域的参数，并为每台主机分配身份识别。指令是可选的；资源记录是必须的，需要为区域提供名称服务。
$TTL 10M
@ IN SOA ns1.example.com a
linux开启dns服务失败,DNS服务启动失败
weixin_29665183的博客
05-08
1516
DNS服务启动失败发布时间:2011-09-15 11:38:14来源:红联作者:blue_rain如题!我是在fedora14下yum安装的named.caching-namesercer,bind软件也安装了的，但是service named start 直接提示的启动失败，没有任何提示(这应该说明区域配置文件是正确的吧)，我的named.conf文件如下options {listen-on ...
BIND配置文件详解（二）
weixin_34310369的博客
10-28
418
本文档摘录自《BIND9管理员手册》，如果有不对或者不清楚的地方，请大家告诉我，谢谢！BIND配置文件详解（二）6.options语句options语句的定义和使用：options语句用来设置可以被整个BIND使用的全局选项。这个语句在每个配置文件中只有一处。如果出现多个options语句，则第一个options的配置有效，并且会产生一个警告信息。如果没有o...
运维之DNS服务器Bind9配置解析和基础示例及附带命令
WeiyiGeek 唯一极客IT知识分享
04-27
4173
0x03 Bind 配置解析
实例1.DNS主从区域传输介绍与配置
实例2.DNS区域传输限制
实例3.DNS部分二级域名解析
示例1.采用Bind建立一个A记录DNS服务器
示例2.采用Bind建立一个CNAME记录DNS服务器
示例3.采用Bind建立一个正向/反向解析DNS服务器
示例4.DNS递归迭代查询
1) 配置文件目录
2) 配置选项
3..
BIND 服务器修复多个高危漏洞
smellycat000的专栏
03-21
548
聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士互联网系统协会 (ISC) 发布安全更新，修复了位于广泛部署的 BIND 服务器软件中的多个高危漏洞。ISC 发布安全公告称，最新的安全...
30分钟了解DNS及搭建方法
qq_35391923的博客
10-28
342
DNS(Domain Name System):域名解析系统
DNS port：53 protocol：tcp
在早期，没有DNS服务器提供解析域名时，可以通过hosts文件来解析域名，hosts需手动配置，及其麻烦，文件 非常臃肿。
在Linux中hosts文件位置 ：/etc/hosts
DNS工作原理(访问网站的流程)
Server Client
客户端向服务端请求解析服务
1. client先查询本地hosts文件，如果本地hosts有目标域名、IP，直接去访
dns码服务器证书,自签名证书以及DNS服务器搭建
weixin_36350581的博客
07-29
408
先搭建dns主服务器192.168.0.112 ，安装bind服务修改主配置文件/etc/named.conf中文件options {//listen-on port 53 { 127.0.0.1; }; #注释该行，让本服务器ip监听53端口allow-query { 192.168.0.0/24; }; # 修改改行，允许该网段的ip使用dns服务器allow-trans...
“相关推荐”对你有帮助么？
非常没帮助
没帮助
一般
有帮助
非常有帮助
提交
©️2022 CSDN
皮肤主题：深蓝海洋
设计师：CSDN官方博客
返回首页
slimina
CSDN认证博客专家
CSDN认证企业博客
码龄15年
暂无认证
404
原创
3万+
周排名
173万+
总排名
281万+
访问
等级
2万+
积分
420
粉丝
285
获赞
520
评论
657
收藏
私信
关注
热门文章
负载均衡-haproxy安装配置
77208
MQTT协议之订阅及发布（使用paho-mqtt-client或mqttv3实现）
45185
Redis 集成Spring（spring-data-redis）
41075
RocketMQ管理命令说明
40702
MQTT协议之Apache Apollo 安装使用
38179
分类专栏
其他
DNS BIND学习与应用
29篇
Memcache学习与应用
18篇
Redis学习教程
31篇
MongoDB学习与应用
48篇
RabbitMQ学习教程
27篇
RPC之Thrift学习实战
10篇
WEB前端
14篇
Java基础
33篇
Struts
1篇
Spring
29篇
MyBatis/Hibernate
4篇
Oracle
24篇
Mysql
27篇
Linux
48篇
RabbitMQ
28篇
ActiveMQ
17篇
RocketMQ
5篇
Kafka
3篇
Redis
45篇
Memcached
21篇
MongoDB
52篇
ZooKeeper
8篇
Dubbo
2篇
CAS
9篇
Hadoop
14篇
quartz
1篇
Maven
2篇
RPC /SOA/分布式
35篇
node.js
搜索引擎
30篇
NIO(mina/netty)
2篇
SQLite/MapDB
1篇
Json工具
1篇
Android
9篇
消息推送
26篇
Http/算法
6篇
测试
13篇
应用服务器(tomcat/jetty)
6篇
负载均衡/集群
42篇
项目管理（maven/svn/git）
10篇
运维监控
2篇
RESTful
1篇
Nginx
16篇
CouchDB
1篇
Cassandra
1篇
Hbase
1篇
DNS/DHCP
30篇
文件系统及分布式
12篇
数据缓存
10篇
Spring Boot
2篇
最新评论
DNS BIND之dnssec安全介绍
band007cs:
7年前的文章了。其中开头的插图右半部图“DNSSEC认证解析过程”所描述的步骤，其次序应与左半部图“DNS解析过程”相同，即首先向根域名服务器发送查询
MongoDB 整合Spring(spring-data-mongodb)
jimworf:
大佬 有没有尝试过在使用MongoTemplate 的时候注册转换器啊？ 我尝试了很多次，始终不生效
DNS BIND之rndc介绍及使用
weixin_54214090:
能不能说下rndc status的中文信息
MongoDB使用小结
aidedmniy:
全面掌握MongoDB4.0 完成从小白到达人的蜕变
下载地址：https://download.csdn.net/download/aidedmniy/77122047
MongoDB 索引之全文索引
slimina:
新版本已经支持了，记得是3.2以上版本，文章里还是2.8版本的，不过全文搜索建议还是使用elasticsearch
您愿意向朋友推荐“博客详情页”吗？
强烈不推荐
不推荐
一般般
推荐
强烈推荐
提交
最新文章
如何利用redis key过期事件实现过期提醒
Spring事务不生效问题汇总
Spring event应用
2018年1篇
2017年16篇
2016年29篇
2015年357篇
2014年155篇
2013年18篇
2010年1篇
目录
目录
分类专栏
其他
DNS BIND学习与应用
29篇
Memcache学习与应用
18篇
Redis学习教程
31篇
MongoDB学习与应用
48篇
RabbitMQ学习教程
27篇
RPC之Thrift学习实战
10篇
WEB前端
14篇
Java基础
33篇
Struts
1篇
Spring
29篇
MyBatis/Hibernate
4篇
Oracle
24篇
Mysql
27篇
Linux
48篇
RabbitMQ
28篇
ActiveMQ
17篇
RocketMQ
5篇
Kafka
3篇
Redis
45篇
Memcached
21篇
MongoDB
52篇
ZooKeeper
8篇
Dubbo
2篇
CAS
9篇
Hadoop
14篇
quartz
1篇
Maven
2篇
RPC /SOA/分布式
35篇
node.js
搜索引擎
30篇
NIO(mina/netty)
2篇
SQLite/MapDB
1篇
Json工具
1篇
Android
9篇
消息推送
26篇
Http/算法
6篇
测试
13篇
应用服务器(tomcat/jetty)
6篇
负载均衡/集群
42篇
项目管理（maven/svn/git）
10篇
运维监控
2篇
RESTful
1篇
Nginx
16篇
CouchDB
1篇
Cassandra
1篇
Hbase
1篇
DNS/DHCP
30篇
文件系统及分布式
12篇
数据缓存
10篇
Spring Boot
2篇
目录
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
打赏作者
slimina
你的鼓励将是我创作的最大动力
¥2
¥4
¥6
¥10
¥20
输入1-500的整数
余额支付
(余额：-- )
扫码支付
扫码支付：¥2
获取中
扫码支付
您的余额不足，请更换扫码支付或充值
打赏作者
实付元
使用余额支付
点击重新获取
扫码支付
钱包余额
抵扣说明：
1.余额是钱包充值的虚拟货币，按照1:1的比例进行支付金额的抵扣。 2.余额无法直接购买下载，可以购买VIP、C币套餐、付费专栏及课程。
余额充值