DNS-实验2_TSIG主从加密传输实现

接上文:DNS-实验1_简单配置和主从DNS

三、实现主从加密传输:

创建密钥:

 

  
  
  
  
  1. cd /etc/named  
  2. dnssec-keygen -a HMAC-MD5 -b 128 -n HOST ns-ns2.mos.com. 

(-a指定加密算法HMAC-MD5, -b指定128位密钥长度,-n指定文件密钥所指定的主机)

  
  
  
  
  1. cat /etc/named/Kns-ns2.mos.com.+157+37227.private |grep Key|cut -d" " -f2 
 
(复制显示出来的内容,其实我们也就需要这么点东西.)
配置主DNS服务:
 
   
   
   
   
  1. vim /etc/named.conf  
  2. //在options段落下方,加入如下行:(不是非要在这,但是要在需要加密的传输段落之上)  
  3. key moskey {    //密钥名字,用于下方引用  
  4.         algorithm hmac-md5;   //告知服务器密钥的加密算法  
  5.         secret "PXaMsDVKXfvANtFq7xWtqg==";   //密钥段  
  6. };  
  7.  
  8. server 172.16.35.2{         //定义给哪个服务器使用的名字  
  9.         keys { moskey; };   //给这个服务器使用上面定义的密钥加密传输  
  10. };  
  11. //下面两段仅为修改即可,并非加入  
  12. zone "mos.com" IN {   
  13.     type master;  
  14.     file "mos.zone";
  15. notify yes;
  16. also-notify { 172.16.35.2; };
  17.     allow-transfer { 172.16.35.2; key moskey; };  //使用之前定义的密钥,进行传输  
  18. };  
  19. zone "16.172.in-addr.arpa" IN {  
  20.     type master;  
  21.     file " 172.16.zone";
  22. notify yes;
  23. also-notify { 172.16.35.2; }; 
  24.     allow-transfer { 172.16.35.2; key moskey; };  
  25. };  
从DNS配置:
   
   
   
   
  1. vim /etc/named.conf  
  2. //以下内容,是添加,并非修改为,请注意!!!  
  3. //在options段落的下方添加如下内容  
  4. key moskey {      
  5.         algorithm hmac-md5;     
  6.         secret "PXaMsDVKXfvANtFq7xWtqg==";    
  7. };  
  8.  
  9. server 172.16.35.1 {    //接收哪个是哪个服务器的  
  10.         keys { moskey; };   //使用之上定义的密钥  
  11. }; 

OK,到此,主从完成,添加主服务器数据库文件的资源条目,并修改其序列号后重启服务测试即可。

 

注:加密传输必须保证两台服务器时间一致,否则一定报错,笔者当时就为此排错花掉近1个小时!!


 

 

 

你可能感兴趣的:(linux,bind,dns,TSIG)