Die Domain Name System Security Extensions (DNSSEC) sind eine Erweiterung des DNS, mit der Authentizität und Datenintegrität von DNS-Transaktionen gewährleistet werden. Ein DNS-Teilnehmer kann damit verifizieren, dass die durch den Server, mit dem er kommuniziert, gelieferten Zonendaten auch tatsächlich identisch mit denen sind, die der für die Zone autorisierte und die Zone signierende Server ausliefert. DNSSEC wurde als Mittel gegen Cache-Poisoning entwickelt, Serverauthentifizierung findet nicht statt. Eine Verschlüsselung von DNS-Daten ist im Rahmen von DNSSEC nicht vorgesehen.

Quelle: http://de.wikipedia.org/wiki/Domain_Name_System_Security_Extensions

Das Script hilft dabei, Bind mit DNSSEC abzusichern. Die Domains sind dabei in einzelnen Zone-Files aufgeteilt (z.B. /etc/named.d/zone.foo.bar), um eine bessere Übersicht bei mehreren Domains zu ermöglichen.

Zuerst löscht es bereits vorhandene Signaturen, bevor es einen Key erzeugt, mit dem die Zone signiert wird. Anschliessend schreibt es die entsprechenden Informationen in die Zone-Datei. Parallel dazu wird die Seriennummer der Zone-Dateien aktualisiert.

systemd und Init V werden für das notwendige Reload unterstützt.

Das Script benötigt nur wenige Einstellungen, alles andere entnimmt es der Konfiguration von Bind.

• nameddir beschreibt das Verzeichnis mit der Zone-Konfiguration (z.B. „/etc/named.d/)
• ktype entsprechend einem Algorithmus von dnssec-keygen -a (z.B. RSASHA1 oder RSASHA256)
• kbits ist abhängig vom Algorithmus

• ftp://ftp.singollo.de/pub/dnssec.sh.gz

Ein Repository wird folgen.

• https://www.digitalocean.com/community/tutorials/how-to-setup-dnssec-on-an-authoritative-bind-dns-server--2
• http://dnssec-debugger.verisignlabs.com/