Zonentransfer signieren

Schlüsselpaar erstellen: ¹⁾

cd
dnssec-keygen -a hmac-md5 -b 512 -n HOST zonentransfer

Dadurch werden zwei Dateien erstellt:

ls Kzonentransfer.+157+*

Die darin angegebenen Schlüssel und Verschlüsselungsverfahren müssen in die Konfigurationsdateien von master und slave eingetragen werden.

master

/etc/named.conf : ( CentOS 5, Debian 5.0 )

key "zonentransfer" {
        algorithm hmac-md5;
        secret "Ur7+TU8m24L9q24AWgNd4g==";
};

zone "linuxhotel.de" {
        type master;
        file "master/linuxhotel.de";
        allow-transfer { key zonentransfer; };
};

zone "1.168.192.in-addr.arpa" {
        type master;
        file "master/1.168.192.in-addr.arpa";
        allow-transfer { key zonentransfer; };
};

testen

Todo: Achtung: unsicher da so der Schlüssel in ps ax Ausgabe und in der history landet. Mit -k wäre sicherer

dig @192.168.53.103 signed03.dnslab.org AXFR -y "zonentransfer:Ur7+TU8m24L9q24AWgNd4g=="

slave

/etc/named.conf : ( CentOS 5, Debian 5.0 )

key "zonentransfer" {
      algorithm hmac-md5;
      secret "Ur7+TU8m24L9q24AWgNd4g==";
};

server 192.168.1.220 {
      keys { zonentransfer; };
};

zone "linuxhotel.de" {
        type slave;
        file "slaves/linuxhotel.de";
        masters { 192.168.1.220; };
};

zone "1.168.192.in-addr.arpa" {
        type slave;
        file "slaves/1.168.192.in-addr.arpa";
        masters { 192.168.1.220; };
};

¹⁾

Todo: eigentlich sollte das immer mit -n HOST funktionieren. Aber ich hatte Situationen, wo ich

dnssec-keygen -a hmac-md5 -b 128 -n ZONE zonentransfer

benutzt habe. Im Bind Manual steht:

dnssec-keygen -a hmac-sha256 -b 128 -n HOST transfer

Ab Bind 9.13.0 müssen TSIG-Keys mit tsig-keygen erstellt werden, die Umleitung enthält direkt die Konfiguration des Keys für den Bind:

tsig-keygen -a hmac-sha256 zonentransfer > zonentransfer.key

Linuxhotel Wiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Inhaltsverzeichnis

Zonentransfer signieren

master

testen

slave

Seiten-Werkzeuge