Встановлення Bind DNS DNSSEC на FreeBSD

Є своя мережа з білими IP (111.222.333.0) та доменом (mydomain.ru). Потрібно підняти DNS, який дивиться в інтернет. Завантажуємо образ FreeBSD 10.0

Налаштовуємо синхронізацію часу раз на день. додаємо в crontab:

Встановлюємо bind 9.9 з репозиторію:

Правимо конфіг /usr/local/etc/namedb/named.conf На початку конфігу прописуємо правила для allow-recursion allow-transfer allow-query

У секції options прописуємо:

Вказуємо на яких інтерфейсах працювати.

Наприкінці файлу прописуємо пряму та зворотну зону:

Тепер створюємо файли зони. Прописуємо до файлу mydomain.ru-forward.db

Потім прописуємо до файлу зворотної зони mydomain.ru-333.222.111-reverse.db наступне:

Значення Serial (Серійний номер версії файлу зони) потрібно збільшувати при кожній зміні в зоні. За цим значенням вторинний сервер виявляє, що потрібно оновити інформацію.

Тепер перевіримо файли зон:

Висновок команди має бути виду:

Налаштуємо логування. Прописуємо в конфіг bind (/usr/local/etc/namedb/named.conf)

Виставимо власника на директорію /var/log/named

Перевіряємо правильність конфігу named.conf командою

Якщо результатом виконання цієї команди «нічого», то все ОК. Тепер завантажимо актуальний файл кореневої зони (named.root).

Помістимо його в каталог /usr/local/etc/namedb із заміною існуючого. Бажано періодично повторювати цю процедуру або налаштувати цю операцію за допомогою cron. Все майже готове! Налаштуємо утиліту управління - rndc Переходимо в каталог /usr/local/etc/namedb Видаляємо файл rndc.conf Виконуємо:

Задіємо автостарт сервера імен. У файл /etc/rc.conf пропишемо:

НалаштуємоDNSSEC. Створимо каталог keys для файлів ключів. Створимо майстер ключ - Key Signing Key (KSK) і ключ для зони - Zone Signing Key (ZSK).

Команда створення KSK ключа:

Команда для створення ключа ZSK:

переконайтеся, що ваш реєстратор домену підтримує алгоритм RSASHA256

виставляємо права на файли ключів:

Увімкнемо логування. У конфіг /usr/local/etc/namedb/named.conf до секції logging додамо:

та додамо в опис зони:

тепер зона mydomain.ru виглядає так:

Для підтримки перевірки DNSSEC на стороні резолвера додайте до секції options :

Після розтарту демона в каталозі зон з'являться файли з розширенням: .jbk, .jnl та .signed

Якщо ви використовуєте DNSSEC Look-aside Validation (опцію dnssec-lookaside auto;), можете спостерігати в лозі множинні повідомлення виду: got insecure response; parent indicates it should be secure. Щоб запобігти цьому, встановіть значення dnssec-validation auto; і використовуйте як forwarders сервери DNS з підтримкою DNSSEC, наприклад від Google - 8.8.8.8

Щоб запрацював процес верифікації реєстратору вашого домену, потрібно завірити створений KSK ключ і підтвердити свою довіру. для цього потрібно прописати запис DS в панелі керування доменом. DS записи створюються на основі KSK ключа командою:

записи видані цією командою прописуємо на панелі управління реєстратора домену.

У деяких реєстраторах також потрібно прописати DSKEY із файлу KSK ключа.

І наприкінці налаштуємо фаєрвол. Створимо файл /etc/ipfw.my_rules такого змісту:

Для автостарту фаєрвола пропишемо у файл /etc/rc.conf рядки:

Логи будуть писатися у файл /var/log/security

---