2022年8月、ホームページを全面リニューアルしました! 情報を分かりやすくお伝えできるサイト作りを目指してまいります。

BIND9 rndc.keyの作り方!

BIND9の魅力の一つは、BIND8と違って共通暗号化通信が使えること。
hmac-md5の暗号鍵を使って通信ができる。したがって、ここではその設定方法を記載する。

◆ BIND9鍵の作成と設定

1.鍵の作成

適当なワークディレクトリで鍵を作る。
# cd /tmp

# dnssec-keygen -a HMAC-MD5 -b 256 -n USER [bindをいごかすユーザ名]    ←俺の場合、namedというUSERで行った。

# ls -al

省略
-rw——- 1 root root 67 Oct 11 19:55 Knamed.+157+53232.key
-rw——- 1 root root 101 Oct 11 19:55 Knamed.+157+53232.private
省略

.key = パブリックキー
.private = プライベートキー

2.鍵の設定

rndc.keyファイルの作成。
# cd /var/named

パブリックキーは以下、
# more /tmp/Knamed.+157+53232.key
named. IN KEY 0 2 157 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
赤の部分は全て同じkeyをコピペする。

# vi rndc.key
key “rndc-key” {
algorithm hmac-md5;
secret “xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx“;
};
secretのところにパブリックキーの内容を入れる。

やり方その1)named.confへパブリックキーの内容をコピペする方法
# vi named.conf
省略
key “rndc-key” {
algorithm hmac-md5;
secret “xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx“;
};

controls {
inet 127.0.0.1 port 953
allow { 127.0.0.1; } keys { “rndc-key”; };
};

やり方その2)rndc.keyファイルが既に有って、rndc.confを作ってnamed.confへrndc.keyをincludeする方法
# vi rndc.conf
# rndc.conf (based for : dnssec-keygen)
options {
default-server localhost;
default-key rndc_key;
};

key rndc_key {
algorithm “hmac-md5”;
secret “xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx“;
};

server localhost {
key rndc_key;
}

# vi named.conf
省略
include “rndc.key”

上記を追加。

やり方その3)CentOS4.3での設定(chroot)

# rndc-confgen -b 256 -u named >> /var/named/chroot/etc/rndc.conf
rndc.confが出来るので、

# more rndc.conf
# Start of rndc.conf
   key “rndckey” {
   algorithm hmac-md5;
   secret “xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx“;
};
省略
上記全てをコピー、以下のようにrndc.keyファイルを作ってペーストする。

# vi rndc.key
key “rndckey” {
   algorithm hmac-md5;
   secret “xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx“;
};

やり方その4)CentOS4.3でrndc.keyを作らない方法
# rndc-confgen -b 256 -u named >> /var/named/chroot/etc/rndc.conf

# vi rndc.conf
# Start of rndc.conf
key “rndckey” {
   algorithm hmac-md5;
   secret “xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx“;
};

#options {
#   default-server localhost;
#   default-key “rndckey”;
#};

※→ # controls {
※→ # inet 127.0.0.1 port 953
※→ allow { 127.0.0.1; } keys { “rndckey”; };
※→ #};

※印のコメントを外す。

# vi named.conf
省略
include “/etc/rndc.conf”

named.confへ上記を追加。

注:やり方その1~その4迄については、各Linuxのディストリビューションによってやり方が違うので参考として理解しておくこと。

以上

コメント