DNS主从配置,及加密限制

Posted zhengyipengyou

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了DNS主从配置,及加密限制相关的知识,希望对你有一定的参考价值。

======================================

主从配置:

Slave:192.168.8.12

[root@dns-s1 ~]# yum install bind -y

[root@dns-s1 ~]# vim /etc/named.conf

        listen-on port 53 any; ;

        allow-query      any; ;

 

zone "bss.com" IN

        type slave;

        file "slaves/bss.com.zone";       ##定义同步后域文件放置的地方,名字可自定义

        masters 192.168.8.11; ;     ##指定主服务器

;

[root@dns-s1 ~]# cd /var/named/

[root@dns-s1 named]# cd slaves/

[root@dns-s1 slaves]# ls         ##没有文件

[root@dns-s1 slaves]# systemctl restart named

[root@dns-s1 slaves]# ls        ##发现文件同步了过来

bss.com.zone

 

============================================

限制服务器内容获取

Master

[root@dns ~]# vim /etc/named.conf

  20         allow-transfer   192.168.8.12; ;       ##限制哪台机器可以学习到本服务器的内容

添加此项后,则只有该IP的服务器可获取到主服务器上的内容;

但即便如此,依然不够安全,因为只限制了IP,所以,就需要使用到加密来限制。

 

========

加密限制

 

Master

 

[root@dns named]# dnssec-keygen -a HMAC-MD5 -b 128 -n HOST xx  

 

Kxx.+157+35157

 

[root@dns named]# cat  Kxx.+157+35157.private

 

Private-key-format: v1.3

 

Algorithm: 157 (HMAC_MD5)

 

Key: efhMBprVq93e1HteofB64g==

 

Bits: AAA=

 

Created: 20190830024600

 

Publish: 20190830024600

 

Activate: 20190830024600

 

[root@dns named]# vim /etc/named.conf ##插入以下内容

 

 44 server 192.168.8.12

 

 45         keys xx; ;

 

 46 ;

 

 47

 

 48 key xx

 

 49         Algorithm hmac-md5;

 

 50         secret efhMBprVq93e1HteofB64g==;

 

 51 ;

 

修改此行配置:

 

 20         allow-transfer   key xx; ;

 

[root@dns named]# systemctl restart named

 

 

Slave:

 

可以先进行以下测试:

 

在之前存放从master上同步过来的域文件删除掉,然后重起服务,发现现在无法同步:

 

[root@dns-s1 slaves]# ls

 

bss.com.zone

 

[root@dns-s1 slaves]# rm -f bss.com.zone

 

[root@dns-s1 slaves]# ls       ##此时目录下没有文件

 

 

[root@dns-s1 slaves]# systemctl restart named

 

[root@dns-s1 slaves]# ls

 

[root@dns-s1 slaves]#        ##发现无法获得域文件

 

 

 

[root@dns-s1 slaves]# vim /etc/named.conf ##修改配置文件

 

 45 server 192.168.8.11

 

 46         keys xx;  ;

 

 47 ;

 

 48

 

 49 key xx

 

 50         Algorithm  hmac-md5;

 

 51         secret  efhMBprVq93e1HteofB64g==;

 

 52 ;

 

[root@dns-s1 slaves]# systemctl restart named

 

[root@dns-s1 slaves]# ls      ##此时发现文件同步

 

bss.com.zone

 

以上是关于DNS主从配置,及加密限制的主要内容,如果未能解决你的问题,请参考以下文章

Centos DNS服务-bind主从配置与基于TSIG加密的动态更新

DNS详解及DNS主从配置

DNS配置及主从同步

基于BIND实现的DNS正反解析及主从DNS的配置

DNS递归查询主从加密认证负载均衡

DNS主从服务器配置