BIND 9.4 安全性

在线编辑

BIND 9 提供事务签名 (TSIG) 和签名 (SIG) 作为 named 的安全度量。

具有 BIND 9 的名称服务器缺省情况下不允许动态更新权限区域,同 BIND 8 类似。

BIND 9 主要支持用于服务器到服务器通信的事务签名 (TSIG)。 这包含区域转换器、通知和递归查询消息。 TSIG 对于动态更新也是有用的。 动态区域的主服务器应该使用访问控制来控制更新,但是基于 IP 的访问控制是不充分的。

通过使用密钥基础加密,而不是当前访问控制表的方法,TSIG 可以用于限制谁能更新动态区域。 不像动态更新的访问控制表 (ACL) 方法,TSIG 密钥可以不需要修改名称服务器上的配置文件而分发给其他的更新者,这就意味着名称服务器没有必要重新读取配置文件。

需要注意的是,BIND 9 并不包含 BIND 8 中的所有关键字。 在本例中,我们使用 BIND 8 中的简单主配置。
注意: 要使用命名 9,必须通过运行以下命令,将 named 守护进程的符号链接重新链接到 named9,并将 nsupdate 重新链接到 nsupdate9
  1. ln -fs /usr/sbin/named9 /usr/sbin/named
  2. ln -fs /usr/sbin/nsupdate9 /usr/sbin/nsupdate
  1. dnssec-keygen 命令生成密钥:
    dnssec-keygen -a HMAC-MD5 -b 128 -n HOST keyname
    • HMAC-MD5 是用于加密的算法
    • 128 要使用的密钥长度(或字节数)
    • HOSTHOST 是 TSIG 关键字,用于生成共享密钥加密的主机密钥。
    命令
    dnssec-keygen -a HMAC-MD5 -b 128 -n HOST venus-batman.abc.aus.century.com
    将产生两个密钥文件,如下:
    Kvenus-batman.abc.aus.century.com.+157+35215.key
Kvenus-batman.abc.aus.century.com.+157+35215.private
    • 157 是用于 (HMAC-MD5) 的算法
    • 35215 是指纹,它在 DNNSEC 中是有用的,因为每个区域允许有多个密钥
  2. 将条目添加到控制器名称服务器上的 named.conf 中:
    // TSIG Key
key venus-batman.abc.aus.century.com. {
        algorithm hmac-md5;
        secret "+UWSvbpxHWFdNwEAdy1Ktw==";
};

    假定 HMAC-MD5 正在使用,两个密钥文件都包含存储为文件中的最后一个条目的共享密钥。 查找安全方法将共享私有密钥复制到客户机上。 您不需要复制密钥文件,只需复制共享私有密钥。

    以下是 Kvenus-batman.abc.aus.century.com.+157+35215.private 文件的条目:
    Private-key-format: v1.2
Algorithm: 157 (HMAC_MD5)
Key: +UWSvbpxHWFdNwEAdy1Ktw==
    下面是控制器名称服务器 named.conf 文件的示例。 区域 abc.aus.century.com 只允许对具有密钥 venus-batman.abc.aus.century.com 的服务器区域转换和动态更新。 逆向区域也是这样,它需要更新者具有共享密钥。
    // TSIG Key
key venus-batman.abc.aus.century.com. {
        algorithm hmac-md5;
        secret "+UWSvbpxHWFdNwEAdy1Ktw==";
};

options {
        directory "/usr/local/domain";
};

zone "abc.aus.century.com" in {
        type master;
        file "named.abc.data";
        allow-transfer { key venus-batman.abc.aus.century.com.;};
        allow-update{ key venus-batman.abc.aus.century.com.; };
};

    由于区转移现在仅限于有密钥的区,因此还必须编辑工作者名称服务器的 named.conf 文件。 所有发送给 192.9.201.1(venus.abc.aus.century.com)的请求都需要通过密钥签名。 注意密钥(venus-batman.abc.aus.century.com.) 的名称。 必须与使用它们的服务器上的相匹配。

    下例是工人名称服务器上 "named.conf文件的示例:
    // TSIG Key
key venus-batman.abc.aus.century.com. {
        algorithm hmac-md5;
        secret "+UWSvbpxHWFdNwEAdy1Ktw==";
};

server 192.9.201.1{
        keys { venus-batman.abc.aus.century.com.;};
};

options {
        directory "/usr/local/domain";
};

zone "abc.aus.century.com" IN {
    type slave;
    file "named.abc.data.bak";
    masters { 192.9.201.1; };
};

BIND 9 安全性和 DNSSEC - BIND 版本9.18

BIND 9 提供访问控制列表、"chroot环境、"setuid功能和动态更新作为 "named命令的安全措施。

l

有关 BIND9.18 版的安全注意事项,请参阅BIND 9 安全注意事项

有关域名系统安全性 (DNSSEC) 的完整信息,请参阅以下主题: