DNS主从视图密钥.pdf

DNS + + 高级 ：主从 视图 密钥 YASS / / OS REHL 5.0 5.5 5.9 6.4.. 硬件要求：两台 两台以上机器 虚拟机 ： 、 、 、 可以互相通信 ping bind bind-chroot （ 的通）时间不可以差很多所需软件： 、 。 BIND 服务器的软件包是 bind，为了加强 BIND 的安全，最好安装bind-chroot 软件包。使 用了 chroot 机制之后，BIND 会将“/var/named/chroot ”认作是根目录。这样，即使 BIND 出 现漏洞被非法入侵，入侵者获得的目录只是“/var/named/chroot ”目录，而无法进入到系 统的其它目录，从而加强了 BIND 的安全性。 主 master 从 slave 概况： 在 master 上面配置好一切，slave 上只需配主配置（named.conf ）。 master 6 slave: 7 主 ： 从 详细配置： 1.配置主 master ①安装软件 （系统默认是没有这两个软件的） YUM 安装： //使用 YUM 安装很方便，替我们解决了依赖关系，只需输入要安装的软 件名即可 # yum -y install bind bind-chroot RPM 安装： # rpm -ivh /iso/Server/bind-9.3.6-4.P1.el5_4.2.i386.rpm # rpm -ivh /iso/Server/bind-chroot-9.3.6-4.P1.el5_4.2.i386.rpm ②生成密钥 # cd /var/named/chroot/etc/ //要在这个目录下生成密钥 # dnssec-keygen --help //相关帮助 Usage: dnssec-keygen -a alg -b bits -n type [options] name Version: 9.3.6-P1-RedHat-9.3.6-4.P1.el5_4.2 Required options: -a algorithm: RSA | RSAMD5 | DH | DSA | RSASHA1 | HMAC-MD5 -b key size, in bits: RSAMD5: [512..4096] RSASHA1: [512..4096] DH: [128..4096] DSA: [512..1024] and divisible by 64 HMAC-MD5: [1..512] -n nametype: ZONE | HOST | ENTITY | USER | OTHER name: owner of the key Other options: -c class (default: IN) -e use large exponent (RSAMD5/RSASHA1 only) -f keyflag: KSK -g generator use specified generator (DH only) -t type: AUTHCONF | NOAUTHCONF | NOAUTH | NOCONF (default: AUTHCONF) -p protocol: default: 3 [dnssec]