使用TISG加密机制增强DNS服务器之间数据传输的安全性 | Dana Shaw's blog

0%

使用TISG加密机制增强DNS服务器之间数据传输的安全性

发表于 2020-07-04 更新于 2021-11-12 分类于 IT 阅读次数：
本文字数： 1k 阅读时长 ≈ 1 分钟

学习TISG加密机制的应用实例

前言

为了确保DNS主从服务器之间数据传输的安全性，可使用TISG加密机制传输数据。

TISG加密机制传输数据

主服务器：192.168.0.106
从服务器：192.168.0.102

主服务器配置

使用dnssec-keygen生成密钥
1
2
cd ~
dnssec-keygen -a HMAC-MD5 -b 128 -n HOST master-slave
解析：-a参数，指的是加密算法类型。
-b参数，指的是密钥长度。
-n参数，指的是密钥类型。
master-salve是自定义的密钥名称。

我们需要用到私钥的key。

编辑密钥传输文件/var/named/chroot/etc/tansfer.key

key "master-slave" {
algorithm hmac-md5;
secret "1g7++KPRr3ZIbf7szGO2gw=="; #刚刚生成的私钥的key
};

设置密钥传输文件的权限

1 2	chmod 640 /var/named/chroot/etc/transfer.key chown root:named /var/named/chroot/etc/transfer.key

将密钥传输文件链接到/etc目录

1	ln /var/named/chroot/etc/transfer.key /etc

编辑主配置文件/etc/named.conf，增加以下两句
清除iptables规则
1
2
iptables -F
service iptables save
重启DNS服务
1
systemctl restart named

从服务器配置

删除已从主服务器同步的正向解析文件和反向解析文件
1
rm -rf /var/named/slaves/*
从主服务器拷贝transfer.key文件，放到/var/named/chroot/etc目录

设置密钥传输文件的权限

1 2	chmod 640 /var/named/chroot/etc/transfer.key chown root:named /var/named/chroot/etc/transfer.key

将密钥传输文件链接到/etc目录

1	ln /var/named/chroot/etc/transfer.key /etc

编辑主配置文件/etc/named.conf，增加以下部分
重启DNS服务
1
systemctl restart named
检查是否成功从主服务器同步正向解析文件和反向解析文件
1
ls /var/named/slaves

本文作者： 肖坤稼
本文链接： https://dana5haw.com/posts/ZH-CN/TISG-DNS-master-slave-safe-transfer.html
版权声明： 本博客所有文章除特别声明外，均采用 BY-NC-SA 许可协议。转载请注明出处！

欢迎关注我的公众号(Welcome to follow me on Wechat)

-------------本文结束感谢您的阅读-------------