Navigation: Start -> ServerAdminTutorials -> DNSsec für bind9

bind9 Konfiguration

Die hier zusammengestellte Konfiguration ist für den DNS-Server bind9 ab der Version 9.7 nutzbar (verfügbar als Source-Code und in den Ditributionen Debian ab squeeze, Ubuntu ab 10.04). Sie bietet DNSSEC-Validierung und Auflösung der ICANN-unabhängigen Toplevel-Domain des OpenNIC Projetes und des Projektes New Nations.

Die im folgenden beschriebenen Dateien named.conf.option, named.conf.local und bind.keys sind im Verzeichnis /etc/bind zu speichern und in der Hauptkonfigurationsdatei named.conf per include-Anweisung zu laden 

include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
include "/etc/bind/bind.keys";

named.conf.options

In der Datei named.conf.options werden die IP-Adressen und Ports definiert, an denen bind9 lauscht. Für unsere Server sind das die Ports 53 und 110. Die Ziffern 11.22.33.44 sind durch die eigene IP-Adresse zu ersetzen. Außerdem wird die DNSSEC-Validierung aktiviert. Um auch DNSSEC-signierte Inseln validieren zu können, nutzen wird die dlv.isc.org als trusted dnssec-lookaside. Das Security-Logfile kann mit fail2ban überwacht werden. Angreifer können mit fail2ban automatsich gesperrt werden. 

options {
        directory "/var/cache/bind";

        auth-nxdomain no;    # conform to RFC1035

        listen-on-v6 { none; };
        listen-on port 53 { 11.22.33.44; 127.0.0.1; };
        listen-on port 110 { 11.22.33.44; };

        version none;

        allow-query { any; };
        allow-recursion { any; };

        dnssec-enable yes;
        dnssec-validation yes;

        dnssec-lookaside "." trust-anchor "dlv.isc.org";

        minimal-responses yes;
        max-cache-size 256M;
        cleaning-interval 15;
        max-cache-ttl 604800;
        max-ncache-ttl 300;
};

logging {
        channel security_file {
                file "/var/log/bind/named_security.log" versions 1 size 3m;
                severity dynamic;
                print-time yes;
        };
        category security {
                security_file;
        };
};

named.conf.local

In dieser Datei werden die ICANN-unabängigen Toplevel-Domains definiert. 

// New nations project
zone "ti" {
        type slave;
        file "cache.db.ti";
        masters { 88.84.130.20; 194.50.176.206; };
};

zone "te" {
        type slave;
        file "cache.db.te";
        masters { 88.84.130.20; 194.50.176.206; };
};

zone "uu" {
        type slave;
        file "cache.db.uu";
        masters { 88.84.130.20; 194.50.176.206; };
};

// OpenNIC
zone "." IN {
type slave;
file "cache.db.opennic";
masters {66.244.95.20;207.192.69.155;};
notify no;
};

bind.keys

Diese Datei enthält den DNSSEC-Root-Key und den Key der lookaside-dlv ics.org 

managed-keys {

  "." initial-key 257 3 8
    "AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF
     FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX
     bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD
     X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz
     W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS
     Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq
     QxA+Uk1ihz0=";

     dlv.isc.org. initial-key 257 3 5 "BEAAAAPHMu/5onzrEE7z1egmhg/WPO0+juoZrW3euWEn4MxDCE1+lLy2 brhQv5rN32RKtMzX6Mj70jdzeND4XknW58dnJNPCxn8+jAGl2FZLK8t+ 1uq4W+nnA3qO2+DL+k6BD4mewMLbIYFwe0PG73Te9fZ2kJb56dhgMde5 ymX4BI/oQ+cAK50/xvJv00Frf8kw6ucMTwFlgPe+jnGxPPEmHAte/URk Y62ZfkLoBAADLHQ9IrS2tryAe7mbBZVcOwIeU/Rw/mRx/vwwMCTgNboM QKtUdvNXDrYJDSHZws3xiRXF1Rf+al9UmZfSav/4NWLKjHzpT59k/VSt TDN0YUuWrBNh";
};
F

GPFWiki: Bind9DNSsec (last edited 2011-01-29 11:36:00 by auto)


Creative Commons License Dieses Werk ist unter einer Creative Commons-Lizenz lizenziert.