• opendnssec

https://wiki.opendnssec.org/quickstart/

Установка

sudo apt-get install build-essential libsqlite3-dev libxml2-dev libldns-dev botan softhsm opendnssec

Инициализация хранилища hsm с именем OpenDNSSEC и пин-кодом 1234

Код: Выделить всё

sudo softhsm2-util --init-token --label OpenDNSSEC --pin 1234 --so-pin 1234 --free

Инициализация базы данных

Код: Выделить всё

sudo ods-enforcer-db-setup

Запуск демона:

Код: Выделить всё

sudo ods-control start

Загрузка политик:

Код: Выделить всё

sudo ods-enforcer policy import

Добавление и подпись простой зоны

Добавляем зону:
/var/lib/opendnssec/unsigned/example.com

Код: Выделить всё

$ORIGIN example.com.
$TTL 86400

example.com.    3600    IN      SOA     ns.example.com. username.example.com. 1 86400 7200 2419200 300
example.com.            IN      NS      ns
ns                      IN      A       192.0.2.1

заменить example.com на свой реальный домен как в этом конфиге, так и в имени этого конфига

Политика по умолчанию используется, если заменить «lab» на «default» или вообще не указывать «-p lab»

Код: Выделить всё

sudo ods-enforcer zone add -z example.com -p lab

Через несколько минут зона должна быть полностью подписана и доступна в /var/lib/opendnssec/signed/example.com
Эти задержки очень малы для лабораторной политики, но более реалистичны для политики по умолчанию.

Запуск OpenDNSSEC

Код: Выделить всё

sudo ods-control start

Остановка OpenDNSSEC

Код: Выделить всё

sudo ods-control stop

Недостаточно перезагрузить систему с помощью ods-enforcer-db-setup, так как состояние также сохраняется в /var/lib/opendnssec.
Ознакомьтесь с файлом конфигурации /etc/opendnssec/conf.xml и его документацией. Вам нужно изменить его, если вы хотите использовать другой HSM или связать OpenDNSSEC с другими программными системами.
Ознакомьтесь с настройками политик в /etc/opendnssec/kasp.xml. Вы можете настроить, как часто и быстро вы хотите менять ключи. Если вы хотите изменить настройки, вам нужно будет перезагрузить политики с помощью "ods-enforcer policy import" еще раз. Используйте "ods-kaspcheck" для проверки файла политики!

Ознакомьтесь со страницей руководства ods-enforcer. Это основной инструмент управления для добавления, удаления зон, просмотра ключевых состояний и так далее

Установка необходимых пакетов

Код: Выделить всё

sudo apt update
sudo apt install opendnssec bind9 bind9utils

Создание конфигурации OpenDNSSEC
/etc/opendnssec/opendnssec.conf
В этом файле вам нужно будет настроить параметры, такие как путь к вашей зоне и ключам. Вот пример базовой конфигурации:

Код: Выделить всё

<opendnssec>
    <zones>
        <zone>
            <name>example.com</name>
            <directory>/var/opendnssec/zones/</directory>
        </zone>
    </zones>

    <signer>
        <directory>/var/opendnssec/signer/</directory>
        <loglevel>3</loglevel>
    </signer>
</opendnssec>

Замените example.com на ваше доменное имя.

Инициализация OpenDNSSEC

Код: Выделить всё

sudo ods-ksmutil init

Добавление вашей зоны

Код: Выделить всё

sudo ods-ksmutil zone add example.com

Настройка BIND

Добавление конфигурации зоны BIND
/etc/bind/named.conf.local

Код: Выделить всё

zone "example.com" {
    type master;
    file "/var/lib/opendnssec/zones/example.com.db";
};

Настройка разрешения DNSSEC

Убедитесь, что у вас включена поддержка DNSSEC в BIND. Добавьте следующие строки в named.conf.options

Код: Выделить всё

options {
    ...
    dnssec-validation auto;
    ...
};

Генерация ключей и подписание зоны

Код: Выделить всё

sudo ods-signer sign example.com

Для автоматического обновления зон и ключей вы можете использовать cron

Код: Выделить всё

# Запуск OpenDNSSEC каждые 5 минут
*/5 * * * * /usr/sbin/ods-hsmutil update

После всех изменений перезапустите службы BIND и OpenDNSSEC

Код: Выделить всё

sudo systemctl restart bind9
sudo systemctl restart opendnssec

Вы можете проверить, правильно ли работает DNSSEC, с помощью команды dig:

Код: Выделить всё

dig +dnssec example.com

Если всё настроено правильно, вы должны увидеть DNSKEY и RRSIG записи.

opendnssec

opendnssec

Re: opendnssec