BIND 9

More documents

Recommendations

Info

CHAPTER 4. 高级DNS特征 4.9. DNSSEC,动态区,和自动化签名注意本例中列出的所有密钥都是无效的。特别是,根密钥是无效的。当DNSSEC验证被打开并正确地配置后,解析器将会拒绝来自签名的安全区的未通过验证的响应,并返回SERVFAIL给客户端。响应可能因为以下任何一种原因而验证失败,包含错误的、过期的、或无效的签名,密钥与父区中的DS资源记录集不匹配,或者来自一个区的不安全的响应,而根据它的父区,应该是一个安全的响应。注意当验证者收到一个来自一个拥有签名父区的未签名区的响应,它必须向其父区确认这个是有意未签名的。它通过验证父区没有包含子区的DS记录,即通过签名的和验证了的NSEC/NSEC3记录,来确认这一点。如果验证者能够证明区是不安全的,其响应就是可以接受的。然而,如果不能证明,它就必须假设不安全的响应是伪造的;它就拒绝响应并在日志中记录一个错误。日志记录的错误为“insecurity proof failed”和“got insecure response; parent indicates it should be secure”。(在<strong>BIND</strong> 9.7之前,日志记录的错误为“not insecure”。这是指区,而不是指响应。) 4.9 DNSSEC,动态区,和自动化签名作为<strong>BIND</strong> 9.7.0的一个特性,可以将一个动态区从不安全转变为签名的区并备份。一个安全的区可以使用NSEC或NSEC3链。 4.9.1 从不安全转换到安全有两种方法可以将一个区从不安全转换为安全:使用动态DNS更新,或者auto-dnssec区选项。对这两种方法,你都需要配置named,使其能够看到K*文件,而后者包含签名区时会用到的公钥和私钥部份。这些文件由dnssec-keygen生成。你可以将密钥文件放到在named.conf中所指名的密钥目录中: zone example.net { type master; update-policy local; file "dynamic/example.net/example.net"; key-directory "dynamic/example.net"; }; 如果生成了一个KSK和一个ZSK DNSKEY密钥 , 这个配置将使区中所有的记录被ZSK签名 , 并使DNSKEY资源记录集被KSK签名。作为初始签名过程的一部份,还会生成一个NSEC链。 30
CHAPTER 4. 高级DNS特征 4.9. DNSSEC,动态区,和自动化签名 4.9.2 动态DNS更新方法要通过动态更新插入密钥: % nsupdate > ttl 3600 > update add example.net DNSKEY 256 3 7 AwEAAZn17pUF0KpbPA2c7Gz76Vb18v0teKT3Ey > update add example.net DNSKEY 257 3 7 AwEAAd/7odU/64o2LGsifbLtQmtO8dFDtTAZXS > send 虽然更新请求会几乎立即完成,但是只有named 有时间扫描整个区并生成NSEC和RRSIG记录之后,区的签名才会完成。区顶点的NSEC记录会在最后添加,作为一个完整NSEC链的信号。如果你希望使用NSEC3来取代NSEC作签名,你应该添加NSEC3PARAM 记录到初始更新请求中。如果你希望NSEC3链具有OPTOUT位,就在NSEC3PARAM记录的标志字段中设置它。 % nsupdate > ttl 3600 > update add example.net DNSKEY 256 3 7 AwEAAZn17pUF0KpbPA2c7Gz76Vb18v0teKT3Ey > update add example.net DNSKEY 257 3 7 AwEAAd/7odU/64o2LGsifbLtQmtO8dFDtTAZXS > update add example.net NSEC3PARAM 1 1 100 1234567890 > send 再次强调,更新请求将会几乎立即完成;然而,所添加的记录不会马上可见,直到named有集合建立/强调相关的链。一个私有类型的记录将被创建,以记录操作状态(参见下面更详细的描述),并在操作完成之后被删除。当初始签名及NSEC/NSEC3链正在生成时,其它更新也可能发生。 4.9.3 完全自动化区签名要打开自动签名,需要在named.conf的区语句中增加auto-dnssec选项。auto-dnssec有两个可能的参数:allow或maintain. 使用auto-dnssec allow, named可以在密钥目录中查找与区匹配的密钥,将其插入到区中,并使用它们来签名区。仅仅在其收到一个rndc sign 命令时才这样做。 auto-dnssec maintain包含上述功能 , 而且还可以根据密钥的时间元数据的时间表自动调整区的DNSKEY记录。(更多信息参见dnssec-keygen(8)和dnssec-settime(8)。)如果区第一次装载时,密钥是由密钥目录所提供,它就会立刻被签名,而不用等待rndc sign命令。(然而,这个命令仍然可以用于计划外的密钥变更。) 使用auto-dnssec选项要求区被配置成允许动态更新 , 这是通过在区配置中增加一个allowupdate或update-policy语句来实现的。如果没有这个,配置就会失败。 4.9.4 私有类型记录签名过程的状态由私有类型记录(带有一个缺省值65534)发信号通知。当签名完成,这些记录将会在最后一个字节有一个非零值(这些记录都有一个初始的非零值)。私有类型记录的格式:如果第一个字节不为0,这个记录表明区需要由与记录匹配的密钥来签名,或者与记录匹配的所有签名应当被删掉。 algorithm (octet 1) key id in network order (octet 2 and 3) removal flag (octet 4) 31
Page 1 and 2: BIND 9管理员参考手册
Page 3 and 4: Contents 1 介绍 9 1.1 文档范
Page 5 and 6: CONTENTS 6.2.11 lwres语句语法 .
Page 7: CONTENTS B.17 ddns-confgen . . . .
Page 10 and 11: CHAPTER 1. 介绍 1.4. 域名系统
Page 12 and 13: CHAPTER 1. 介绍 1.4. 域名系统
Page 15 and 16: Chapter 3 名字服务器配置在
Page 17 and 18: CHAPTER 3. 名字服务器配置 3.
Page 19 and 20: CHAPTER 3. 名字服务器配置 3.
Page 21 and 22: Chapter 4 高级DNS特征 4.1 通
Page 23 and 24: CHAPTER 4. 高级DNS特征 4.4. 分
Page 25 and 26: CHAPTER 4. 高级DNS特征 4.5. TSI
Page 27 and 28: CHAPTER 4. 高级DNS特征 4.6. TKE
Page 29: CHAPTER 4. 高级DNS特征 4.8. DNS
Page 33 and 34: CHAPTER 4. 高级DNS特征 4.10.
Page 35 and 36: CHAPTER 4. 高级DNS特征 4.11. PK
Page 37 and 38: CHAPTER 4. 高级DNS特征 4.11. PK
Page 39: CHAPTER 4. 高级DNS特征 4.12. BI
Page 43 and 44: Chapter 6 BIND 9配置参考 BIND 9
Page 45 and 46: CHAPTER 6. BIND 9配置参考 6.1.
Page 81 and 82:
CHAPTER 6. BIND 9配置参考 6.2.
Page 83 and 84:
Page 85 and 86:
Page 87 and 88:
Page 89 and 90:
Page 91 and 92:
Page 93 and 94:
Page 95 and 96:
Page 97 and 98:
Page 99 and 100:
Page 101 and 102:
Page 103:
Page 106 and 107:
CHAPTER 7. BIND 9安全考虑 7.2.
Page 109:
Chapter 8 排除故障 8.1 通常
Page 112 and 113:
APPENDIX A. 附录 A.2. 通用DNS
Page 114 and 115:
APPENDIX A. 附录 A.3. 参考书
Page 116 and 117:
APPENDIX A. 附录 A.4. BIND 9 DNS
Page 118 and 119:
Page 120 and 121:
Page 122 and 123:
APPENDIX B. 手册页 B.1. DIG 在
Page 124 and 125:
APPENDIX B. 手册页 B.1. DIG +[no
Page 126 and 127:
APPENDIX B. 手册页 B.2. HOST B.2
Page 128 and 129:
APPENDIX B. 手册页 B.3. DNSSEC-D
Page 130 and 131:
APPENDIX B. 手册页 B.4. DNSSEC-K
Page 132 and 133:
APPENDIX B. 手册页 B.5. DNSSEC-K
Page 134 and 135:
APPENDIX B. 手册页 B.6. DNSSEC-R
Page 136 and 137:
APPENDIX B. 手册页 B.7. DNSSEC-S
Page 138 and 139:
APPENDIX B. 手册页 B.8. DNSSEC-S
Page 140 and 141:
APPENDIX B. 手册页 B.9. NAMED-CH
Page 142 and 143:
APPENDIX B. 手册页 B.10. NAMED-C
Page 144 and 145:
APPENDIX B. 手册页 B.11. NAMED B
Page 146 and 147:
APPENDIX B. 手册页 B.12. NAMED-J
Page 148 and 149:
APPENDIX B. 手册页 B.13. NSUPDAT
Page 150 and 151:
APPENDIX B. 手册页 B.13. NSUPDAT
Page 152 and 153:
APPENDIX B. 手册页 B.15. RNDC.CO
Page 154 and 155:
APPENDIX B. 手册页 B.16. RNDC-CO
Page 156 and 157:
APPENDIX B. 手册页 B.18. ARPANAM
Page 158 and 159:
APPENDIX B. 手册页 B.20. ISC-HMA
show all

BIND 9

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?