20.9. Bezpečné transakce
Předcházející Kapitola 20. DNS — Domain Name System Další

20.9. Bezpečné transakce

Bezpečné transakce lze zajistit pomocí transakčních signatur (TSIG) založených na sdílených tajných klíčích (TSIG klíčích). V této sekci je popsáno, jak tyto klíče vytvořit a používat.

Bezpečné transakce jsou potřeba pro komunikaci mezi různými servery a pro dynamickou obnovu zónových dat. Kontrola pomocí klíčů je mnohem bezpečnější než pouhá kontrola pomocí IP adres.

TSIG klíč můžete vygenerovat následujícím příkazem (podrobnosti viz man dnssec-keygen): 

dnssec-keygen -a hmac-md5 -b 128 -n HOST host1-host2

Tím se vytvoří dva soubory se jmény podobnými následujícím: 

Khost1-host2.+157+34265.private Khost1-host2.+157+34265.key

Samotný klíč (např. řetězec ejIkuCyyGJwwuN3xAteKgg==) se nachází v obou souborech. Aby mohl být používán pro transakce, musí být druhý soubor (Khost1-host2.+157+34265.key) přenesen na vzdálený počítač (nejlépe bezpečnou cestou, např. pomocí scp). Na vzdáleném serveru musí být vložen do souboru /etc/named.conf, čímž se umožní bezpečná komunikace mezi oběma počítači (host1 a host2): 


key host1-host2. {
 algorithm hmac-md5;
 secret ";ejIkuCyyGJwwuN3xAteKgg==;
};
[Warning]Přístupová práva k /etc/named.conf

Ujistěte se, že přístupová práva k souboru /etc/named.conf jsou správně nastavena (a omezena). Výchozí práva pro tento soubor jsou 0640, vlastníkem souboru je root a skupina je named. Jinou možností je přesunout klíče do jiného souboru s patřičně nastavenými právy, který se pak do souboru /etc/named.conf vkládá.

Aby mohl server host1 používat klíč pro host2 (jehož adresa je 192.168.2.3), musí soubor /etc/named.conf na serveru obsahovat následující pravidlo: 

server 192.168.2.3 {
  keys { host1-host2. ;};
};

Obdobné nastavení je třeba učinit i v konfiguračních souborech na počítači host2.

Kromě seznamů správy přístupu (ACL, Access Control Lists — neplést s ACL souborového systému) definovaných pro jednotlivé IP adresy a rozsahy adres přidejte pro zvýšení bezpečnosti TSIG klíče. Příslušný záznam v konfiguraci by měl vypadat asi takto:

allow-update { key host1-host2. ;};

K tomuto tématu naleznete více informací v příručce BIND Administrator Reference Manual v části update-policy.

Předcházející Nahoru Další
20.8. Dynamická aktualizace údajů o zóně Domů 20.10. DNSSEC