você está aqui: Home → Colunistas → Sysadmin

Configurando um DNS secundário com DNSsec habilitado no Debian Lenny

Colaboração: Alexandro Silva

Data de Publicação: 03 de Junho de 2009

Aproveitando o material que compilei para as aulas que estou ministrando sobre serviços de internet Linux na Pós em Gestão de Segurança na Unijorge resolvi criar este post complementando os anteriores sobre o DNSsec e a configuração do Bind9 no Debian.

Então segue um tutorial sobre como configurar um DNS secundário com DNSsec habilitado.

Execute os passos abaixo no servidor SLAVE

Instale o Bind9
```
  aptitude install bind9
```
Crie o diretório /etc/bind/zones
```
  mkdir /etc/bind/zones
```

Mude o dono e as permissões para este diretório

  chown bind:bind /etc/bind/zones
  chmod g+w /etc/bind/zones

Edite o arquivo /etc/bind/named.conf.options
```
  vim /etc/bind/named.conf.options
```
Adcione a linha abaixo:
```
  dnssec-enable yes;
```

Crie a chave que será compartilhada pelo servidores:

  dnssec-keygen -a hmac-md5 -b 128 -n host acme.local

Acesse o arquivo .private que estará no /etc/bind, como no exemplo abaixo:

  vim /etc/bind/Kacme.local.+157+47805.private

  Private-key-format: v1.2
  Algorithm: 157 (HMAC_MD5)
  **Key: fHRX4is1JElf9Al1v21odA**
  Bits: AAA=

Guarde o hash da linha Key
Edite o arquivo /etc/bind/named.conf
```
  vim /etc/bind/named.conf
```

Adicione a seguinte linha:

  key "TRANSFER" {
        algorithm hmac-md5;
        secret "**INFORME  A CHAVE GERADA AQUI**";
  };

Edite o arquivo /etc/bind/named.conf
```
  vim /etc/bind/named.conf
```

Adicione a seguinte linha:

  server 192.168.0.1 {
        keys {
        TRANSFER;
    };
  };

Edite o arquivo /etc/bind/named.conf.local
```
  vim /etc/bind/named.conf.local
```

Adicione informações sobre o dominio

  zone "acme.local" {
        type slave;
        file "/etc/bind/zones/slave_acme.local";
        masters { 192.168.0.1; };
        allow-notify { 192.168.0.1; };
  };

Edite o arquivo /etc/bind/named.conf
```
  vim /etc/bind/named.conf
```
Adicione a linha
```
  include "/etc/bind/rndc.key";
```

Execute os passos abaixo no servidor MASTER

Edite o arquivo /etc/bind/named.conf.options
```
  vim /etc/bind/named.conf.options
```
Adicione a linha abaixo:
```
  dnssec-enable yes;
```
Edite o arquivo /etc/bind/named.conf
```
  vim /etc/bind/named.conf
```

Adicione a seguinte linha:

  key "TRANSFER" {
        algorithm hmac-md5;
        secret "**INFORME  A CHAVE GERADA NO SLAVE AQUI**";
  };

Edite o arquivo /etc/bind/named.conf
```
  vim /etc/bind/named.conf
```

Adicione a seguinte linha:

  server 192.168.0.2 {
        keys {
        TRANSFER;
    };
  };

Edite o arquivo /etc/bind/named.conf
```
  vim /etc/bind/named.conf
```
Adicione a linha
```
  include "/etc/bind/rndc.key";
```
Instale os pacotes necessários para sincronização da hora do sistema:
```
  aptitude aptitude install ntp ntpdate
```
Atualize a hora
```
  ntpdate ntp.pop-ba.rnp.br
```
Reinicie o Bind9
```
  /etc/init.d/bind9 restart
```
Instale o ntpdate no slave e sincronize a hora com o master
```
  ntpdate 192.168.0.1
```
Reinicie o Bind9
```
  /etc/init.d/bind9 restart
```

Após reiniciar o Bind no slave o arquivo slave_acme.local deve surgir no diretório /etc/bind/zones. Se esse arquivo não for criado dê uma olhada no arquivo de log daemons.log e verifique o erro apresentado.

Fonte: HowtoForge

Veja a relação completa dos artigos desta coluna