Navigation: Start -> ServerAdminTutorials -> DNSsec für bind9
bind9 Konfiguration
Die hier zusammengestellte Konfiguration ist für den DNS-Server bind9 ab der Version 9.7 nutzbar (verfügbar als Source-Code und in den Ditributionen Debian ab squeeze, Ubuntu ab 10.04). Sie bietet DNSSEC-Validierung und Auflösung der ICANN-unabhängigen Toplevel-Domain des OpenNIC Projetes und des Projektes New Nations.
Die im folgenden beschriebenen Dateien named.conf.option, named.conf.local und bind.keys sind im Verzeichnis /etc/bind zu speichern und in der Hauptkonfigurationsdatei named.conf per include-Anweisung zu laden
include "/etc/bind/named.conf.options"; include "/etc/bind/named.conf.local"; include "/etc/bind/bind.keys";
named.conf.options
In der Datei named.conf.options werden die IP-Adressen und Ports definiert, an denen bind9 lauscht. Für unsere Server sind das die Ports 53 und 110. Die Ziffern 11.22.33.44 sind durch die eigene IP-Adresse zu ersetzen. Außerdem wird die DNSSEC-Validierung aktiviert. Um auch DNSSEC-signierte Inseln validieren zu können, nutzen wird die dlv.isc.org als trusted dnssec-lookaside. Das Security-Logfile kann mit fail2ban überwacht werden. Angreifer können mit fail2ban automatsich gesperrt werden.
options { directory "/var/cache/bind"; auth-nxdomain no; # conform to RFC1035 listen-on-v6 { none; }; listen-on port 53 { 11.22.33.44; 127.0.0.1; }; listen-on port 110 { 11.22.33.44; }; version none; allow-query { any; }; allow-recursion { any; }; dnssec-enable yes; dnssec-validation yes; dnssec-lookaside "." trust-anchor "dlv.isc.org"; minimal-responses yes; max-cache-size 256M; cleaning-interval 15; max-cache-ttl 604800; max-ncache-ttl 300; }; logging { channel security_file { file "/var/log/bind/named_security.log" versions 1 size 3m; severity dynamic; print-time yes; }; category security { security_file; }; };
named.conf.local
In dieser Datei werden die ICANN-unabängigen Toplevel-Domains definiert.
// New nations project zone "ti" { type slave; file "cache.db.ti"; masters { 88.84.130.20; 194.50.176.206; }; }; zone "te" { type slave; file "cache.db.te"; masters { 88.84.130.20; 194.50.176.206; }; }; zone "uu" { type slave; file "cache.db.uu"; masters { 88.84.130.20; 194.50.176.206; }; }; // OpenNIC zone "." IN { type slave; file "cache.db.opennic"; masters {66.244.95.20;207.192.69.155;}; notify no; };
bind.keys
Diese Datei enthält den DNSSEC-Root-Key und den Key der lookaside-dlv ics.org
managed-keys { "." initial-key 257 3 8 "AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq QxA+Uk1ihz0="; dlv.isc.org. initial-key 257 3 5 "BEAAAAPHMu/5onzrEE7z1egmhg/WPO0+juoZrW3euWEn4MxDCE1+lLy2 brhQv5rN32RKtMzX6Mj70jdzeND4XknW58dnJNPCxn8+jAGl2FZLK8t+ 1uq4W+nnA3qO2+DL+k6BD4mewMLbIYFwe0PG73Te9fZ2kJb56dhgMde5 ymX4BI/oQ+cAK50/xvJv00Frf8kw6ucMTwFlgPe+jnGxPPEmHAte/URk Y62ZfkLoBAADLHQ9IrS2tryAe7mbBZVcOwIeU/Rw/mRx/vwwMCTgNboM QKtUdvNXDrYJDSHZws3xiRXF1Rf+al9UmZfSav/4NWLKjHzpT59k/VSt TDN0YUuWrBNh"; }; F