você está aqui: Home → Colunistas → Sysadmin
Configurando um DNS secundário com DNSsec habilitado no Debian Lenny
Colaboração: Alexandro Silva
Data de Publicação: 03 de Junho de 2009
Aproveitando o material que compilei para as aulas que estou ministrando sobre serviços de internet Linux na Pós em Gestão de Segurança na Unijorge resolvi criar este post complementando os anteriores sobre o DNSsec e a configuração do Bind9 no Debian.
Então segue um tutorial sobre como configurar um DNS secundário com DNSsec habilitado.
Execute os passos abaixo no servidor SLAVE
- Instale o Bind9
aptitude install bind9
- Crie o diretório /etc/bind/zones
mkdir /etc/bind/zones
- Mude o dono e as permissões para este diretório
chown bind:bind /etc/bind/zones chmod g+w /etc/bind/zones
- Edite o arquivo
/etc/bind/named.conf.optionsvim /etc/bind/named.conf.options
- Adcione a linha abaixo:
dnssec-enable yes;
- Crie a chave que será compartilhada pelo servidores:
dnssec-keygen -a hmac-md5 -b 128 -n host acme.local
- Acesse o arquivo .private que estará no /etc/bind, como no exemplo abaixo:
vim /etc/bind/Kacme.local.+157+47805.private
Private-key-format: v1.2 Algorithm: 157 (HMAC_MD5) **Key: fHRX4is1JElf9Al1v21odA** Bits: AAA=
- Guarde o hash da linha Key
- Edite o arquivo
/etc/bind/named.confvim /etc/bind/named.conf
- Adicione a seguinte linha:
key "TRANSFER" { algorithm hmac-md5; secret "**INFORME A CHAVE GERADA AQUI**"; }; - Edite o arquivo
/etc/bind/named.confvim /etc/bind/named.conf
- Adicione a seguinte linha:
server 192.168.0.1 { keys { TRANSFER; }; }; - Edite o arquivo
/etc/bind/named.conf.localvim /etc/bind/named.conf.local
- Adicione informações sobre o dominio
zone "acme.local" { type slave; file "/etc/bind/zones/slave_acme.local"; masters { 192.168.0.1; }; allow-notify { 192.168.0.1; }; }; - Edite o arquivo
/etc/bind/named.confvim /etc/bind/named.conf
- Adicione a linha
include "/etc/bind/rndc.key";
Execute os passos abaixo no servidor MASTER
- Edite o arquivo
/etc/bind/named.conf.optionsvim /etc/bind/named.conf.options
- Adicione a linha abaixo:
dnssec-enable yes;
- Edite o arquivo
/etc/bind/named.confvim /etc/bind/named.conf
- Adicione a seguinte linha:
key "TRANSFER" { algorithm hmac-md5; secret "**INFORME A CHAVE GERADA NO SLAVE AQUI**"; }; - Edite o arquivo
/etc/bind/named.confvim /etc/bind/named.conf
- Adicione a seguinte linha:
server 192.168.0.2 { keys { TRANSFER; }; }; - Edite o arquivo
/etc/bind/named.confvim /etc/bind/named.conf
- Adicione a linha
include "/etc/bind/rndc.key";
- Instale os pacotes necessários para sincronização da hora do sistema:
aptitude aptitude install ntp ntpdate
- Atualize a hora
ntpdate ntp.pop-ba.rnp.br
- Reinicie o Bind9
/etc/init.d/bind9 restart
- Instale o ntpdate no slave e sincronize a hora com o master
ntpdate 192.168.0.1
- Reinicie o Bind9
/etc/init.d/bind9 restart
Após reiniciar o Bind no slave o arquivo slave_acme.local deve surgir no diretório /etc/bind/zones. Se esse arquivo não for criado dê uma olhada no arquivo de log daemons.log e verifique o erro apresentado.
Fonte: HowtoForge
Sobre o autor
Rubens Queiroz de Almeida é engenheiro eletricista, formado pela Universidade Federal de Juiz de Fora. Trabalha na Unicamp, no Centro de Computação, desde 1988. Colaborou em diversas edições da Revista do Linux, com artigos demonstrando a viabilidade e importância estratégica do software livre. É autor dos livros Linux - Dicas e Truques, As Palavras Mais Comuns da Língua Inglesa, Read in English - Uma Maneira Divertida de Aprender Inglês, e colaborou na confecção do livro A Leitura nos Oceanos da Internet.
Mantém os sites Aprendendo Inglês, EduLinks, Contando Histórias e a Dicas-L.
Para se manter atualizado sobre as novidades desta coluna, consulte sempre o newsfeed RSS
Para saber mais sobre RSS, leia o artigo O Padrão RSS - A luz no fim do túnel.