| SUSEDocumentazione LINUX Capitolo 40. DNS: Domain Name System / 40.7. Transazioni sicure | ||||
|---|---|---|---|---|
 | 40.6. Aggiornamento dinamico dei dati di zona | 40.8. DNSSEC |  | |
| SUSEDocumentazione LINUX Capitolo 40. DNS: Domain Name System / 40.7. Transazioni sicure | ||||
|---|---|---|---|---|
| 40.6. Aggiornamento dinamico dei dati di zona | 40.8. DNSSEC | | |
Grazie alle «Transaction SIGnatures» (TSIG) si realizza una transazione sicura. Vengono utilizzate delle chiavi di transazione (ingl. transaction keys) e firme di transazione (ingl. transaction signatures). Nella seguente sezione spiegheremo come generarle ed utilizzarle.
Una transazione sicura è richiesta per la comunicazione tra server e l'aggiornamento dinamico dei dati di zona. Il controllo degli accessi basato su chiave offre maggior sicurezza rispetto ad un controllo basato sugli indirizzi IP.
Con il seguente comando potete generare una chiave di transazione (per avere
ulteriori informazioni si veda la pagina di manuale man dnssec-keygen):
dnssec-keygen -a hmac-md5 -b 128 -n HOST host1-host2
Il risultato sono due file che per esempio portano il seguente nome:
Khost1-host2.+157+34265.private Khost1-host2.+157+34265.key
La chiave è contenuta in entrambi i file (p.es.
ejIkuCyyGJwwuN3xAteKgg==). In seguito
Khost1-host2.+157+34265.key dovrebbe venir copiato in
modo sicuro (p.es. con scp) su host remoti e lì essere
inserito in /etc/named.conf per realizzare una
comunicazione sicura tra host1 e
host2:
key host1-host2. {
algorithm hmac-md5;
secret ";ejIkuCyyGJwwuN3xAteKgg==;
};![[Warning]](admon/warning.png) | Permessi di accesso di /etc/named.conf |
|---|---|
Assicuratevi che i permessi di accesso per | |
Affinché sul server host1 venga
utilizzata la chiave per host2
con l'indirizzo esempio 192.168.2.3 il file
/etc/named.conf sul server deve contenere:
server 192.168.2.3 {
keys { host1-host2. ;};
};
Il file di configurazione di host2 deve essere adattato
di conseguenza.
Oltre alle ACL che si basano sugli indirizzi IP e area degli indirizzi si dovrebbero aggiungere delle chiavi TSIG per avere delle transazioni sicure; ecco un esempio:
allow-update { key host1-host2. ;};
Per ulteriori informazioni consultate nel manuale di amministrazione di BIND
(BIND Administrator Reference Manual) la parte
intitolata update-policy.
