![[CentOS8] DNS 보안을 위한 TSIG](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FbR7k4E%2FbtrOww5hbGr%2FSUWOINjA4yciNA7KzgBlE1%2Fimg.png)
- VM 2대 : master, slave
- master ip : 192.168.111.10
- slave ip : 192.168.111.20
TSIG
TSIG 를 이용한 파일 전송은 비밀키와 해시 알고리즘을 이용해 DNS 메시지의 무결성과 메시지 송신자를 인증하는 방법임. 주로 DNS 마스터와 슬레이브 네임서버간의 동적 업데이트와 zone파일 전송에 쓰인다.
TSIG를 설정하면 네임서버나 업데이트자(Updater)가 DNS 메시지의 기타부분(additional section)에 TSIG 레코드를 추가한다. 이 TSIG 레코드는 DNS 메시지를 서명하는 역할을 하고, 메시지 송신자와 수신자가 공유하는 암호키를 가지고 있으며, 그 메시지가 전송도중 변조되지 않았음을 입증한다.
1. dnssec-keygen
[root@localhost ~]# dnsnec-keygen -a HMAC-MD5 -b 128 -n HOST chul.com
-a : 알고리즘
-b : 크기(비트)
-n : 키의 이름
명령어로 인해 나온 private 키를 설정파일에 넣어준다
/etc/named.conf 설정변경
key "chul.com" {
algorithm hmac-md5;
secret "9qjfEX70cZGzOdcetJdcCw==";
};
slave의 /etc/named.conf 에도 동일하게 넣어주세염
2. master에 키파일을 slave로 넣어준다
[root@localhost ~]# scp /var/named/Kchul.com.+157+26329.* root@192.168.111.20:/var/named
slave
/etc/named.rfc1912.zones
zone "chul.com" IN {
type slave;
file "slaves/chul.zone";
masters { 192.168.111.10; };
allow-update { none; };
};
zone "jeong.com" IN {
type slave;
file "slaves/jeong.zone";
masters { 192.168.111.10; };
allow-update { none; };
};
zone "111.168.192.in-addr.arpa" IN {
type slave;
file "slaves/10.zone";
masters { 192.168.111.10; };
allow-update { none; };
};
slave 에서 /var/named/slaves 에 존파일이 있다.
[root@node1 slaves]# ls
10.zone chul.zone jeong.zone
[root@node1 slaves]# rm chul.zone
rm: remove 일반 파일 'chul.zone'? y
chul.zone 파일을 지운 후
[root@node1 slaves]# systemctl restart named
[root@node1 slaves]# ls
10.zone chul.zone chul.zone.signed jeong.zone
master와 slave에서 systemctl restart named를 해주면 동기화가 되어 chul.zone 파일이 생겨난다!
'Linux' 카테고리의 다른 글
| [CentOS8] SAMBA 사용법 (0) | 2021.02.08 |
|---|---|
| [CentOS8] ssh 원격접속 명령어 사용법 (비밀번호사용, 전자서명) (0) | 2021.02.02 |
| [CentOS8] DNS 구축을 위한 BIND 설치 (0) | 2021.02.01 |
| CentOS8 가상호스트 설정, Network Adapter 추가 (0) | 2021.01.25 |
| CentOS8 커널5.8.9 으로 수동 업데이트 하기 (2) | 2021.01.25 |