você está aqui: Home  → Colunistas  →  Sysadmin

Configurando um DNS secundário com DNSsec habilitado no Debian Lenny

Colaboração: Alexandro Silva

Data de Publicação: 03 de Junho de 2009

Aproveitando o material que compilei para as aulas que estou ministrando sobre serviços de internet Linux na Pós em Gestão de Segurança na Unijorge resolvi criar este post complementando os anteriores sobre o DNSsec e a configuração do Bind9 no Debian.

Então segue um tutorial sobre como configurar um DNS secundário com DNSsec habilitado.

Execute os passos abaixo no servidor SLAVE

  • Instale o Bind9

      aptitude install bind9
    

  • Crie o diretório /etc/bind/zones

      mkdir /etc/bind/zones
    

  • Mude o dono e as permissões para este diretório

      chown bind:bind /etc/bind/zones
      chmod g+w /etc/bind/zones
    

  • Edite o arquivo /etc/bind/named.conf.options

      vim /etc/bind/named.conf.options
    

  • Adcione a linha abaixo:

      dnssec-enable yes;
    

  • Crie a chave que será compartilhada pelo servidores:

      dnssec-keygen -a hmac-md5 -b 128 -n host acme.local
    

  • Acesse o arquivo .private que estará no /etc/bind, como no exemplo abaixo:
  vim /etc/bind/Kacme.local.+157+47805.private
  Private-key-format: v1.2
  Algorithm: 157 (HMAC_MD5)
  **Key: fHRX4is1JElf9Al1v21odA**
  Bits: AAA=
  • Guarde o hash da linha Key

  • Edite o arquivo /etc/bind/named.conf

      vim /etc/bind/named.conf
    

  • Adicione a seguinte linha:

      key "TRANSFER" {
            algorithm hmac-md5;
            secret "**INFORME  A CHAVE GERADA AQUI**";
      };
    

  • Edite o arquivo /etc/bind/named.conf

      vim /etc/bind/named.conf
    

  • Adicione a seguinte linha:

      server 192.168.0.1 {
            keys {
            TRANSFER;
        };
      };
    

  • Edite o arquivo /etc/bind/named.conf.local

      vim /etc/bind/named.conf.local
    

  • Adicione informações sobre o dominio

      zone "acme.local" {
            type slave;
            file "/etc/bind/zones/slave_acme.local";
            masters { 192.168.0.1; };
            allow-notify { 192.168.0.1; };
      };
    

  • Edite o arquivo /etc/bind/named.conf

      vim /etc/bind/named.conf
    

  • Adicione a linha

      include "/etc/bind/rndc.key";
    

Execute os passos abaixo no servidor MASTER

  • Edite o arquivo /etc/bind/named.conf.options

      vim /etc/bind/named.conf.options
    

  • Adicione a linha abaixo:

      dnssec-enable yes;
    

  • Edite o arquivo /etc/bind/named.conf

      vim /etc/bind/named.conf
    

  • Adicione a seguinte linha:

      key "TRANSFER" {
            algorithm hmac-md5;
            secret "**INFORME  A CHAVE GERADA NO SLAVE AQUI**";
      };
    

  • Edite o arquivo /etc/bind/named.conf

      vim /etc/bind/named.conf
    

  • Adicione a seguinte linha:

      server 192.168.0.2 {
            keys {
            TRANSFER;
        };
      };
    

  • Edite o arquivo /etc/bind/named.conf

      vim /etc/bind/named.conf
    

  • Adicione a linha

      include "/etc/bind/rndc.key";
    

  • Instale os pacotes necessários para sincronização da hora do sistema:

      aptitude aptitude install ntp ntpdate
    

  • Atualize a hora

      ntpdate ntp.pop-ba.rnp.br
    

  • Reinicie o Bind9

      /etc/init.d/bind9 restart
    

  • Instale o ntpdate no slave e sincronize a hora com o master

      ntpdate 192.168.0.1
    

  • Reinicie o Bind9

      /etc/init.d/bind9 restart
    

Após reiniciar o Bind no slave o arquivo slave_acme.local deve surgir no diretório /etc/bind/zones. Se esse arquivo não for criado dê uma olhada no arquivo de log daemons.log e verifique o erro apresentado.

Fonte: HowtoForge

 

 

Veja a relação completa dos artigos desta coluna

Error: No database selected