在Linux DNS服務器上啟用DNSSEC(域名系統安全擴展)可以提高DNS查詢的安全性���,防止DNS欺騙攻擊���。以下是在Linux DNS服務器上啟用DNSSEC的步驟:
1. 安裝BIND
首先�,確保你的系統上已經安裝了BIND���。如果沒有安裝��,可以使用包管理器進行安裝���。例如��,在Debian/Ubuntu系統上�,可以使用以下命令:
sudo apt update
sudo apt install bind9 bind9utils bind9-doc
在CentOS/RHEL系統上����,可以使用以下命令:
sudo yum install bind bind-utils bind-devel
2. 配置BIND以啟用DNSSEC
編輯BIND的主配置文件/etc/bind/named.conf���。你可以使用任何文本編輯器來編輯這個文件�����,例如nano或vi��。
sudo nano /etc/bind/named.conf
在配置文件中��,找到并注釋掉以下行(如果已經存在):
include "/etc/bind/named.conf.default-zones";
然后�,添加以下內容:
zone "example.com" {
type master;
file "/etc/bind/db.example.com";
allow-query { any; };
dnssec-validation auto;
};
在這個例子中����,我們定義了一個名為example.com的DNS區域����,并啟用了DNSSEC驗證�����。
3. 創建DNSSEC簽名密鑰
為你的域名創建一個DNSSEC簽名密鑰��。你可以使用dnssec-keygen工具來完成這個任務��。例如:
sudo dnssec-keygen -a rsa -b 2048 -f /etc/bind/ssl/example.com.key -n SHA256
這個命令會生成一個2048位的RSA密鑰對�����,并將其保存在/etc/bind/ssl/example.com.key文件中���。
4. 更新DNS區域文件
編輯你的DNS區域文件(在這個例子中是/etc/bind/db.example.com)��,并添加DNSSEC相關的記錄���。例如:
$TTL 604800
@ IN SOA ns1.example.com. admin.example.com. (
2 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns1.example.com.
ns1 IN A 192.168.1.1
www IN A 192.168.1.2
5. 重新加載BIND配置
保存并關閉配置文件后���,重新加載BIND配置以應用更改:
sudo systemctl reload bind9
6. 驗證DNSSEC配置
你可以使用dig工具來驗證你的DNS服務器是否正確配置了DNSSEC����。例如:
dig @localhost example.com SOA +noall +answer +dnssec
如果配置正確����,你應該會看到類似以下的輸出:
; <<>> DiG 9.16.1-Ubuntu <<>> @localhost example.com SOA +noall +answer +dnssec
example.com. 3600 IN SOA ns1.example.com. admin.example.com. (
2 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
example.com. 3600 IN NS ns1.example.com.
ns1.example.com. 3600 IN A 192.168.1.1
www.example.com. 3600 IN A 192.168.1.2
注意��,+dnssec選項表示查詢包含了DNSSEC簽名����。
通過以上步驟���,你已經在Linux DNS服務器上成功啟用了DNSSEC��。
