Benutzer-Werkzeuge

Webseiten-Werkzeuge


Writing /srv/www/htdocs/udo/singollo.de/linux.singollo.de/public_html/data/cache/6/6eb7133d343ff15ce68ca3b266ed4ffd.metadata failed
named:dnssec

Bind mit DNSSEC absichern

Die Domain Name System Security Extensions (DNSSEC) sind eine Erweiterung des DNS, mit der Authentizität und Datenintegrität von DNS-Transaktionen gewährleistet werden. Ein DNS-Teilnehmer kann damit verifizieren, dass die durch den Server, mit dem er kommuniziert, gelieferten Zonendaten auch tatsächlich identisch mit denen sind, die der für die Zone autorisierte und die Zone signierende Server ausliefert. DNSSEC wurde als Mittel gegen Cache-Poisoning entwickelt, Serverauthentifizierung findet nicht statt. Eine Verschlüsselung von DNS-Daten ist im Rahmen von DNSSEC nicht vorgesehen.

Quelle: http://de.wikipedia.org/wiki/Domain_Name_System_Security_Extensions

Script

Das Script hilft dabei, Bind mit DNSSEC abzusichern. Die Domains sind dabei in einzelnen Zone-Files aufgeteilt (z.B. /etc/named.d/zone.foo.bar), um eine bessere Übersicht bei mehreren Domains zu ermöglichen.

Ablauf

Zuerst löscht es bereits vorhandene Signaturen, bevor es einen Key erzeugt, mit dem die Zone signiert wird. Anschliessend schreibt es die entsprechenden Informationen in die Zone-Datei. Parallel dazu wird die Seriennummer der Zone-Dateien aktualisiert.

systemd und Init V werden für das notwendige Reload unterstützt.

Einstellungen

Das Script benötigt nur wenige Einstellungen, alles andere entnimmt es der Konfiguration von Bind.

  • nameddir beschreibt das Verzeichnis mit der Zone-Konfiguration (z.B. „/etc/named.d/)
  • ktype entsprechend einem Algorithmus von dnssec-keygen -a (z.B. RSASHA1 oder RSASHA256)
  • kbits ist abhängig vom Algorithmus

Download

Ein Repository wird folgen.

named/dnssec.txt · Zuletzt geändert: 10.01.2015 13:30 von udo