Sicherer Zonen Transfer mit BIND9 (TSIG Zone Transfer)
Auch können wichtige Hinweise und Erläuterungen fehlen, was die Verwendung der Dokumentation erschweren kann.
Voraussichtliche Fertigstellung: 04/2021
Vorwort
Diese Dokumentation beschreibt den Installationsvorgang von sicherem Zonen Transfer zwischen zwei Bind-DNS-Servern mit TSIG.
Bitte vergewissern Sie sich, dass Ihr System über die nötigen Voraussetzungen verfügt, wie in der Infobox beschrieben. Weiterhin sind Grundkenntnisse im Umgang mit Linux erforderlich, da die Vorgehensweise, wie sie hier beschrieben ist, in manchen Teilen abweichen kann. Kein System ist wie das Andere. Die Dokumentation wurde sorgfältig von mir geprüft. Dennoch kann ich keinerlei Haftung für Schäden an Ihrem System oder eine Gewährleistung übernehmen. Bitte verwenden Sie diese Dokumentation auf eigene Gefahr.
Verwendete Software:
Voraussetzungen:
- funktionierender Bind9 DNS-Server, z.B.:
Weitere, empfohlene Dokumentationen:
Was muss ich in der Konfiguration anpassen?
Einige Parameter müssen auf Ihre Umgebung angepasst werden. Im Verlauf dieser Dokumentation müssen Sie nur die Parameter anpassen, die in der nachfolgenden Tabelle aufgelistet sind. Sie können also ganz einfach durch die Funktion "Suchen und Ersetzen" (STRG + H), die Konfigurationsdateien auf Ihre Umgebung anpassen. Das Gleiche gilt für auszuführende Kommandos.
Folgende Parameter werden verwendet:
Wert | Hinweis | |
---|---|---|
Allgemein | ||
Domain | example.com | Ersetzen Sie diesen Wert durch Ihre Domain. |
DNS-Zone | zone.example.com | Ersetzen Sie diesen Wert durch Ihre DNS-Zone. |
IPv4-Netz | 198.51.100.0/24 | Ersetzen Sie diesen Wert Ihr gewünschtes IPv4-Netz. |
Master-DNS-Server | ||
Hostname | dns01.example.com | Ersetzen Sie diesen Wert durch den FQDN Ihres Master-DNS-Servers. |
IPv4-Adresse | 192.0.2.101 | Ersetzen Sie diesen Wert durch die IP-Adresse Ihres Master-DNS-Servers. |
Slave-DNS-Server | ||
Hostname | dns02.example.com | Ersetzen Sie diesen Wert durch den FQDN Ihres Slave-DNS-Servers. |
IPv4-Adresse | 192.0.2.102 | Ersetzen Sie diesen Wert durch die IP-Adresse Ihres Slave-DNS-Servers. |
E-Mail-Adressen: | ||
Root-E-Mail-Adresse | root@example.com | Ersetzen Sie diesen Wert durch die E-Mail-Adresse desjenigen, der E-Mails für Root erhalten soll. |
Konfigurations-Dateien werden immer nach dem gleichen Muster erstellt. Unter jeder Datei, die eine Anpassung erfordert, finden Sie die nötigen Hinweise.
Dateien, die zwar Parameter aber keine eigentliche Konfiguration enthalten, werden nach dem vorgegebenen Syntax erstellt.
Beispiel:
Im folgenden Beispiel ist die Datei /home/beispiel.conf
zu erstellen und der Parameter domain
anzupassen.
Erstellen Sie eine neue Datei /home/beispiel.conf
mit folgendem Inhalt:
# nano /home/beispiel.conf
url = www.twlnet.com
content = Dokumentationen
domain = example.com
owner = root
# beispiel.conf
[...]
domain = example.com
[...]
Im folgenden Beispiel ist die Datei /home/beispiel.map
mit einer Liste Ihrer E-Mail-Adressen zu erstellen.
Erstellen Sie eine neue Datei /home/beispiel.map
nach folgendem Syntax:
# nano /home/beispiel.map
benutzer1@example.com
benutzer2@example.com
benutzer3@example.com
Server vorbereiten
Root-Rechte einräumen
Während der gesamten Dokumentation werden Root-Rechte benötigt. Um auf das Voranstellen von sudo
zu verzichten, verschaffen Sie sich für die gesamte Sitzung erhöhte Rechte mit:
# sudo -i
Update durchführen
Bringen Sie den Server auf den aktuellen Patchstand:
# apt update && apt upgrade
Software herunterladen und installieren
Laden Sie bind9-utils
aus dem offiziellen Ubuntu-Repository herunter:
# apt install bind9-utils
Bind konfigurieren
TSIG-Key generieren
Verwenden Sie tsig-keygen
um den TSIG-Key zu generieren:
# tsig-keygen -a hmac-sha512 tsig-key > /etc/bind/tsig.key
Vergeben Sie die entsprechenden Zugriffsrechte:
# chmod 640 /etc/bind/tsig.key # chown root:bind /etc/bind/tsig.key
Kopieren Sie den TSIG-Key auf den Slave-DNS-Server:
# scp -r /etc/bind/tsig.key root@192.0.2.102:/etc/bind
Master-DNS-Server konfigurieren
Fügen Sie der Datei /etc/bind/named.conf.local
folgendes hinzu:
# nano /etc/bind/named.conf.local
[...] include "/etc/bind/tsig.key"; [...] zone "zone.example.com" { [...] type master; file "zone.example.com.zone" ; allow-transfer { key "tsig-key"; }; also-notify { 192.0.2.102; }; notify yes; [...] }; [...]
Slave-DNS-Server konfigurieren
Fügen Sie der Datei /etc/bind/named.conf.local
folgendes hinzu:
# nano /etc/bind/named.conf.local
[...] include "/etc/bind/tsig.key"; server 192.0.2.101 { keys { tsig-key; }; }; [...] zone "zone.example.com" { [...] type slave ; file "zone.example.com.zone" ; allow-transfer { none; }; masters { 192.168.50.100; }; [...] }; [...]