티스토리 뷰

서버/DNS 이야기

DNSSEC TSIG 설정

크롱_k 2015.11.24 11:41

- 키생성

[root@NS1 sbin]# ./dnssec-keygen -a HMAC-MD5 -b 128 -n Host my-domain.re.kr.  
Kmy-domain.re.kr.+157+06837

- 생성이후 두개 의 파일 생성을 확인 가능함

-rw-------. 1 root root      59 Nov 24 10:12 Kmy-domain.re.kr.+157+06837.key
-rw-------. 1 root root     165 Nov 24 10:12 Kmy-domain.re.kr.+157+06837.private

Kmy-domain.re.kr.+157+06837.private 파일의 내용에서 key 에 해당하는 항목을 카피후 named.conf 에 인서트한다.

Private-key-format: v1.3
Algorithm: 157 (HMAC_MD5)
Key: JdtUtU9ucGrhyzFlSFJ/Kw==
Bits: AAA=
Created: 20151124010932
Publish: 20151124010932
Activate: 20151124010932

- 설정예시

vi /etc/my-domain.key.conf
  key my-domain.re.kr. {
  Algorithm hmac  md5;    -> HMAC-MD5;
  secret "JdtUtU9ucGrhyzFlSFJ/Kw==";
  };

vi /etc/named.conf

 include /etc/my-domain.key.conf;

 

zone "my-domain.re.kr"{
   type master;
   file "my-domain.re.kr-zone";
   allow-update { key my-domain.re.kr.};


- Slave 설정 : MASTER 서버와 /etc/my-domain.key.conf 을 동일하게 생성

-named.conf 내용추가

include "/etc/my-domain.key.conf";
server 10.0.0.11{
keys{ my-domain.re.kr;};
};

- 마스터 서버의 Kmy파일 두개 가저오기

 

- 확인

 

 nsupdate -k Kmy-domain.re.kr.+157+06837.key
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:      0
;; flags: ; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
> server 127.0.0.1
> update add minsu.my-domain.re.kr. 300 IN A 10.10.0.11
> send

 

 

--- 두번째

 

[root@NS1 sbin]# dig @10.0.0.11 my-domain.re.kr axfr key my-domain.re.kr
;; Warning, extra type option

; <<>> DiG 9.7.0-P2-RedHat-9.7.0-5.P2.el6 <<>> @10.0.0.11 my-domain.re.kr axfr key my-domain.re.kr
; (1 server found)
;; global options: +cmd
my-domain.re.kr.        60      IN      SOA     ns1.my-domain.re.kr. manager.my-domain.re.kr. 2012071845 600 30 36000 60
;; Query time: 0 msec
;; SERVER: 10.0.0.11#53(10.0.0.11)
;; WHEN: Tue Nov 24 11:42:07 2015
;; MSG SIZE  rcvd: 81

;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54491
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;my-domain.re.kr.               IN      A

;; ANSWER SECTION:
my-domain.re.kr.        60      IN      A       10.0.0.55

;; AUTHORITY SECTION:
my-domain.re.kr.        60      IN      NS      ns1.my-domain.re.kr.
my-domain.re.kr.        60      IN      NS      ns2.my-domain.re.kr.

;; ADDITIONAL SECTION:
ns1.my-domain.re.kr.    60      IN      A       10.0.0.11
ns2.my-domain.re.kr.    60      IN      A       10.0.0.12

;; Query time: 0 msec
;; SERVER: 10.0.0.11#:q!53(10.0.0.11)
;; WHEN: Tue Nov 24 11:42:07 2015
;; MSG SIZE  rcvd: 117

/var/log/messge
Nov 24 11:39:44 NS1 named[2061]: client 10.0.0.12#59798/key my-domain.re.kr (my-domain.re.kr): transfer of 'my-domain.re.kr/IN': IXFR started: TSIG my-domain.re.kr (serial 2012071844 -> 2012071845)

 

 

 

'서버 > DNS 이야기' 카테고리의 다른 글

nsupdate  (0) 2015.11.25
DNS 점검 및 관리도구 사용법  (0) 2015.11.25
dig 정보 상세  (0) 2015.11.25
역방향 질의 ( 인버스 )  (0) 2015.11.25
DNSSEC TSIG 설정  (1) 2015.11.24
dig 활용  (0) 2015.11.24
TAG
,
댓글
댓글쓰기 폼