主辅DNS服务器基于TSIG密钥的区域传输

Author: Jaylin Zhou

Date: 10/16/2009

主DNS服务器IP为192.168.1.11

辅助DNS服务器IP为192.168.1.9

如果主辅DNS服务器之间不做安全验证措施，很容易被其他主机和黑客从中间获得DNS服务器的记录。主配置文件里提供了allow-transfer的选项，可以将它的值设置为辅助DNS服务器的IP。这样虽然能做到一定程度的安全保护，但是依旧是明文传输，假设一个黑客将自己伪装为192.168.1.9，还是可以获得主DNS服务器的记录。因此我们要用一种加密的方式来实现区域传输。这种加密方式叫做TSIG，一种对称加密方式。

主DNS服务器配置

执行下面命令生成一个密钥：

# dnssec-keygen -a hmac-md5 -b 128 -n host server-client

-a 指定加密方式。

-b 密码长度。

-n 指定名称为server-client，类型为host。

命令执行成功之后会在当前目录下生成两个文件：

Kserver-client.+157+39898.key

Kserver-client.+157+39898.private

在/var/named/chroot/var/named/目录下创建一个文件，作为传输时使用的key文件。

# touch jaylin.key; chown root.named jaylin.key

# vi jaylin.key

key server-client. {

        algorithm "hmac-md5";

        secret "dahP9T2T/NJaEYq3rykCRw==";

};

其中secret的内容为密钥文件中的KEY值，后面会有两个等号。

注意server-client后面有一个“.”。

修改/etc/named.caching-nameserver.conf文件，在对应的view里加入如下的选项：

allow-transfer { key server-client; };

include "/var/named/jaylin.key";

将主DNS的jaylin.key文件传输到辅DNS服务器的/var/named/chroot/var/named/目录下。

#scp /var/named/chroot/var/named/jaylin.key 192.168.1.9:/var/named/chroot/var/named

辅助DNS服务器的配置

修改/etc/named.caching-nameserver.conf文件，在view里加入下面的参数，

include "/var/named/jaylin.key";

修改/etc/named.rfc1912.zones文件，在最上面添加下面的代码：

server 192.168.1.11 {

        keys { server-client.; };

};

注意server-client后面有一个“.”。

在辅助DNS服务器上测试

# dig -y server-client.:dahP9T2T/NJaEYq3rykCRw== @192.168.1.11 jaylin.com axfr

;; Couldn't verify signature: clocks are unsynchronized

; <<>> DiG 9.3.4-P1 <<>> -y server-client. @192.168.1.11 jaylin.com axfr

; (1 server found)

;; global options:  printcmd

server-client.          0       ANY     TSIG    hmac-md5.sig-alg.reg.int. 1255656298 300 16 DATWIxJ7uMoFmMNkL3nGnw== 16352 BADTIME 6 AABK190q

; Transfer failed.

错误提示“Couldn't verify signature: clocks are unsynchronized”，因为主辅之间的时间相差太大了。

主DNS服务器

# date

Fri Oct 16 10:43:55 CST 2009

辅助DNS服务器

# date

Fri Oct 16 09:28:11 CST 2009

将辅助DNS服务器的时间改为和主DNS服务器一致或相近：

# date -s "10:43:60" 

再次测试

# dig -y server-client.:dahP9T2T/NJaEYq3rykCRw== @192.168.1.11 jaylin.com axfr

; <<>> DiG 9.3.4-P1 <<>> -y server-client. @192.168.1.11 jaylin.com axfr

; (1 server found)

;; global options:  printcmd

jaylin.com.             86400   IN      SOA     server.jaylin.com. root\@jaylin.com. 42 10800 900 604800 86400

jaylin.com.             86400   IN      NS      server.jaylin.com.

client.jaylin.com.      86400   IN      A       192.168.1.9

server.jaylin.com.      86400   IN      A       192.168.1.11

jaylin.com.             86400   IN      SOA     server.jaylin.com. root\@jaylin.com. 42 10800 900 604800 86400

server-client.          0       ANY     TSIG    hmac-md5.sig-alg.reg.int. 1255664540 300 16 Jm1BVMlLnI2UjtYzHEBz8w== 46958 NOERROR 0 

;; Query time: 53 msec

;; SERVER: 192.168.1.11#53(192.168.1.11)

;; WHEN: Fri Oct 16 11:42:01 2009

;; XFR size: 5 records (messages 1)