Archive
Configurando um DNS secundário com DNSsec habilitado no Debian Lenny
Aproveitando o material que compilei para as aulas que estou ministrando sobre serviços de internet Linux na Pós em Gestão de Segurança na Unijorge, resolvi criar este post complementando os anteriores sobre o DNSsec e a configuração do Bind9 no Debian.
Então segue um tutorial sobre como configurar um DNS secundário com DNSsec habilitado.
Aproveitem!
Execute os passos abaixo no servidor SLAVE
Instale o Bind9
aptitude install bind9
Crie o diretório /etc/bind/zones
mkdir /etc/bind/zones
Mude o dono e as permissões para este diretório
chown bind:bind /etc/bind/zones
chmod g+w /etc/bind/zones
Edite o arquivo /etc/bind/named.conf.options
vim /etc/bind/named.conf.options
Adcione a linha abaixo:
dnssec-enable yes;
Crie a chave que será compartilhada pelo servidores:
dnssec-keygen -a hmac-md5 -b 128 -n host acme.local
Acesse o arquivo .private que estará no /etc/bind, como no exemplo abaixo:
vim /etc/bind/Kacme.local.+157+47805.private
Private-key-format: v1.2
Algorithm: 157 (HMAC_MD5)
Key: fHRX4is1JElf9Al1v21odA==
Bits: AAA=
Guarde o hash da linha Key
Edite o arquivo /etc/bind/named.conf
vim /etc/bind/named.conf
Adicione a seguinte linha:
key “TRANSFER” {
algorithm hmac-md5;
secret “INFORME A CHAVE GERADA AQUI“;
};
Edite o arquivo /etc/bind/named.conf
vim /etc/bind/named.conf
Adicione a seguinte linha:
server 192.168.0.1 {
keys {
TRANSFER;
};
};
Edite o arquivo /etc/bind/named.conf.local
vim /etc/bind/named.conf.local
Adicione informações sobre o dominio
zone “acme.local” {
type slave;
file “/etc/bind/zones/slave_acme.local”;
masters { 192.168.0.1; };
allow-notify { 192.168.0.1; };
};
Edite o arquivo /etc/bind/named.conf
vim /etc/bind/named.conf
Adicione a linha
include “/etc/bind/rndc.key”;
Execute os passos abaixo no servidor MASTER
Edite o arquivo /etc/bind/named.conf.options
vim /etc/bind/named.conf.options
Adcione a linha abaixo:
dnssec-enable yes;
Edite o arquivo /etc/bind/named.conf
vim /etc/bind/named.conf
Adicione a seguinte linha:
key “TRANSFER” {
algorithm hmac-md5;
secret “INFORME A CHAVE GERADA NO SLAVE AQUI“;
};
Edite o arquivo /etc/bind/named.conf
vim /etc/bind/named.conf
Adicione a seguinte linha:
server 192.168.0.2 {
keys {
TRANSFER;
};
};
Edite o arquivo /etc/bind/named.conf
vim /etc/bind/named.conf
Adicione a linha
include “/etc/bind/rndc.key”;
Instale os pacotes necessários para sincronização da hora do sistema:
aptitude aptitude install ntp ntpdate
Atualize a hora
ntpdate ntp.pop-ba.rnp.br
Reinicie o Bind9
/etc/init.d/bind9 restart
Instale o ntpdate no slave e sincronize a hora com o master
ntpdate 192.168.0.1
Reinicie o Bind9
/etc/init.d/bind9 restart
Após reiniciar o Bind no slave o arquivo slave_acme.local deve surgir no diretório /etc/bind/zones. Se esse arquivo não for criado dê uma olhada no arquivo de log daemons.log e verifique o erro apresentado.
Fonte: HowtoForge
Configurando o Bind9 no Ubuntu/Debian ( Atualizado )
Precisei instalar um DNS Server recentemente e vi que este tutorial estava um pouco desatualizado.
Aproveitei a oportunidade para atualizá-lo.
Instalando o Bind
sudo apt-get install bind9 dnsutils
Configurando o Bind
Fazendo backup do named.conf.local
sudo cp /etc/bind/named.conf.local /etc/bind/named.conf.local.ORIG
Aqui é onde configuramos as zonas do DNS.
sudo vim /etc/bind/named.conf.local
Adicione as seguintes linhas no arquivo named.conf.local
# Esta e uma definição de zona. substitua acme.local com o nome do seu dominio
zone “acme.local” {
type master;
file “/etc/bind/zones/acme.local.db”;
};# Esta e uma zona reversa. substitua o 0.168.192 com o seu endereco de rede em notacao reversa – e.g meu endereço e 192.168.0
zone “0.168.192.in-addr.arpa” {
type master;
file “/etc/bind/zones/rev.0.168.192.in-addr.arpa”;
};
Agora faça o backup e edite o arquivo named.conf.options
sudo cp /etc/bind/named.conf.options /etc/bind/named.conf.options.ORIG
Edite o arquivo named.conf.options e informe um servidor de encaminhamento ( forwarder )
sudo vim /etc/bind/named.conf.options
forwarders {
# Susbstitua o endereco abaixo com o endereco do seu provedor de DNS208.67.222.222;
};
Adicione o arquivo de definição de zona (substitua acme.local com o nome do seu dominio)
sudo mkdir /etc/bind/zones
sudo vim /etc/bind/zones/acme.local.db
O arquivo de definicao de zona é onde nós adicionamos todos os endereços/máquinas que nosso DNS conhecerá.
// Substitua acme.local com o nome do seu dominio. nao esqueca do . depois do nome do dominio!
// tambem, substitua o ns1 com o nome do seu servidor DNS$TTL 604800
@ IN SOA acme.local. admin.acme.local. (
2009051301 ; Serial
7200 ; Refresh
120 ; Retry
2419200 ; Expire
604800) ; Default TTL
;
@ IN NS ns1.acme.local.acme.local. IN MX 10 mail.acme.local
acme.local. IN A 192.168.0.1
www IN CNAME acme.local.
mail IN A 192.168.0.1
Criando o arquivo de zona reversa
sudo vim /etc/bind/zones/rev.0.168.192.in-addr.arpa
$TTL 1d;
$ORIGIN 0.168.192.IN-ADDR.ARPA.
@ IN SOA ns1.acme.local. admin.acme.local. (
2009051301
7200
120
2419200
604800
)IN NS ns1.acme.local.
1 IN PTR ns1.acme.local.
Reinicie o servidor Bind usando o seguinte comando
sudo /etc/init.d/bind9 restart
Testando o servidor DNS
Modifique o arquivo /etc/resolv.conf com as seguintes configurações
sudo vim /etc/resolv.conf
search acme.local
nameserver 192.168.0.1
Teste o servidor usando os seguintes comandos:
dig acme.local
ping mail.acme.local
Banners
Selos
Debian Administration
- Look before you leap into Disk Encryption
- Debian 7.0, "Wheezy" released
- A brief introduction to the beanstalkd queue
- Writing a simple indexer and searcher with Lucy::Simple
- The next release of Debian GNU/Linux is due soon ..
