DNSSEC Linux - BIND
Torbjörn Eklöv
Interlan
Hidden master <-> Slave
Hidden master
10.1.1.10
Slave
10.1.2.10
Notify
Zone-transfer
Hidden Master
Kataloger och filer
/etc/bind => named.conf ligger här och är huvudkonfig-fil förBIND i Ubuntu – ändra den enligt nästa sida
/var/cache/bind => Här skapar vi en katalog / domän som viska ha. Ex.mkdir kommundomän.se.Lägg sedan kommunens zonfil i filen zone.db – det är den viarbetar med sedan.Kopiera zone.db till zone.db.signed FÖRSTA gången innan nikör zkt-signer
Ubuntu 12.04 Hidden master
Ändra /etc/bind/named.conf  till =>10.1.2.10 är IP-adressen till slaven
options {directory "/var/cache/bind”;allow-transfer { 10.1.2.10; };also-notify { 10.1.2.10; };listen-on-v6 { any; };dnssec-enable yes;
};zone ”kommundomän.se." {    type master;    file ”kommundomän.se./zone.db.signed”;};
/var/cache/bind/kommundomän.se./zone.db
Skapa sedan katalogen /var/cache/bind/kommundomän.se. och lägg kommunenszonfil I zone.db( Det är en bild nedan för det är viktigt att ( är på första raden i SOA och PPT vill intedet. Ta den zonfil ni har idag och justera SOA expire samt lägg in $INCLUDEdnskey.db som nedan ( Ursäkta att det står svenljunga!  )
Skapa dnssec.conf i /var/cache/bindNu rättad med bra världen
# dnssec.conf 
Zonedir:                 "/var/cache/bind/" 
Recursive:               True 
PrintTime:               False 
PrintAge:                True 
LeftJustify:             False 
#   zone specific values 
ResignInterval:          2d               
Sigvalidity:             60d             
Max_TTL:                 8h            
Propagation:             5m              
KEY_TTL:                 1h               
Serialformat:            incremental 
#   signing key parameters 
KSK_algo                N3RSASHA256 
KSK_lifetime:            6000d            
KSK_bits:                2048 
KSK_randfile:            "/dev/urandom" 
ZSK_algo                N3RSASHA256
ZSK_lifetime:            60d            
ZSK_bits:                1536
ZSK_randfile:            "/dev/urandom" 
SaltBits:                24 
#   dnssec-signer options 
LogFile:                 ”” 
LogLevel:                NOTICE 
SyslogFacility:          USER 
SyslogLevel:             NOTICE 
VerboseLog:              1 
Keyfile:                 "dnskey.db" 
Zonefile:                "zone.db" 
KeySetDir:               "." 
DLV_Domain:              "" 
Sig_Pseudorand:          True 
Sig_GenerateDS:          True 
Sig_Parameter:           "-n 1 -H 5 -3 fa37” 
zone.db -> zone.db.signed
Vi editerar zone.db som blir signerad i zone.db.signed
cd /var/cache/bindKörzkt-signer -c ./dnssec.conf -r -N /etc/bind/named.conf
Går allt bra så har det skapats ett gäng filer ikommundomän.se. katalogen
Testa med dig +dnssec testdomain.se @localhost
Slave – ns.kommun.se
Ubuntu 12.04 Slave
Ändra /etc/bind/named.conf till =>options {directory "/var/cache/bind”;allow-transfer { none; };also-notify { 81.228.10.68; }; ( här dns6.telia.com )listen-on-v6 { any; };allow-recursion { none; };dnssec-enable yes;
};zone ”testdomain.se." {    type slave;   masters { 10.1.1.10; };    file ”testdomain.se./zone.db”;};
dig
dig +dnssec testdomain.se @localhost