BIND9の魅力の一つは、BIND8と違って共通暗号化通信が使えること。
hmac-md5の暗号鍵を使って通信ができる。したがって、ここではその設定方法を記載する。
◆ BIND9鍵の作成と設定
1.鍵の作成
適当なワークディレクトリで鍵を作る。
# cd /tmp
# dnssec-keygen -a HMAC-MD5 -b 256 -n USER [bindをいごかすユーザ名] ←俺の場合、namedというUSERで行った。
# ls -al
省略
-rw——- 1 root root 67 Oct 11 19:55 Knamed.+157+53232.key
-rw——- 1 root root 101 Oct 11 19:55 Knamed.+157+53232.private
省略
.key = パブリックキー
.private = プライベートキー
2.鍵の設定
rndc.keyファイルの作成。
# cd /var/named
パブリックキーは以下、
# more /tmp/Knamed.+157+53232.key
named. IN KEY 0 2 157 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
赤の部分は全て同じkeyをコピペする。
# vi rndc.key
key “rndc-key” {
algorithm hmac-md5;
secret “xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx“;
};
secretのところにパブリックキーの内容を入れる。
やり方その1)named.confへパブリックキーの内容をコピペする方法
# vi named.conf
省略
key “rndc-key” {
algorithm hmac-md5;
secret “xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx“;
};
controls {
inet 127.0.0.1 port 953
allow { 127.0.0.1; } keys { “rndc-key”; };
};
やり方その2)rndc.keyファイルが既に有って、rndc.confを作ってnamed.confへrndc.keyをincludeする方法
# vi rndc.conf
# rndc.conf (based for : dnssec-keygen)
options {
default-server localhost;
default-key rndc_key;
};
key rndc_key {
algorithm “hmac-md5”;
secret “xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx“;
};
server localhost {
key rndc_key;
}
# vi named.conf
省略
include “rndc.key”
上記を追加。
やり方その3)CentOS4.3での設定(chroot)
# rndc-confgen -b 256 -u named >> /var/named/chroot/etc/rndc.conf
rndc.confが出来るので、
# more rndc.conf
# Start of rndc.conf
key “rndckey” {
algorithm hmac-md5;
secret “xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx“;
};
省略
上記全てをコピー、以下のようにrndc.keyファイルを作ってペーストする。
# vi rndc.key
key “rndckey” {
algorithm hmac-md5;
secret “xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx“;
};
やり方その4)CentOS4.3でrndc.keyを作らない方法
# rndc-confgen -b 256 -u named >> /var/named/chroot/etc/rndc.conf
# vi rndc.conf
# Start of rndc.conf
key “rndckey” {
algorithm hmac-md5;
secret “xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx“;
};
#options {
# default-server localhost;
# default-key “rndckey”;
#};
※→ # controls {
※→ # inet 127.0.0.1 port 953
※→ # allow { 127.0.0.1; } keys { “rndckey”; };
※→ #};
※印のコメントを外す。
# vi named.conf
省略
include “/etc/rndc.conf”
named.confへ上記を追加。
注:やり方その1~その4迄については、各Linuxのディストリビューションによってやり方が違うので参考として理解しておくこと。
以上
コメント