在Linux DNS服务器上启用DNSSEC(域名系统安全扩展)可以提高DNS查询的安全性,防止DNS欺骗攻击。以下是在Linux DNS服务器上启用DNSSEC的步骤:
1. 安装BIND
首先,确保你的系统上已经安装了BIND。如果没有安装,可以使用包管理器进行安装。例如,在Debian/Ubuntu系统上,可以使用以下命令:
sudo apt update sudo apt install bind9 bind9utils bind9-doc
在CentOS/RHEL系统上,可以使用以下命令:
sudo yum install bind bind-utils bind-devel
2. 配置BIND以启用DNSSEC
编辑BIND的主配置文件/etc/bind/named.conf
。你可以使用任何文本编辑器来编辑这个文件,例如nano
或vi
。
sudo nano /etc/bind/named.conf
在配置文件中,找到并注释掉以下行(如果已经存在):
include "/etc/bind/named.conf.default-zones";
然后,添加以下内容:
zone "example.com" { type master; file "/etc/bind/db.example.com"; allow-query { any; }; dnssec-validation auto; };
在这个例子中,我们定义了一个名为example.com
的DNS区域,并启用了DNSSEC验证。
3. 创建DNSSEC签名密钥
为你的域名创建一个DNSSEC签名密钥。你可以使用dnssec-keygen
工具来完成这个任务。例如:
sudo dnssec-keygen -a rsa -b 2048 -f /etc/bind/ssl/example.com.key -n SHA256
这个命令会生成一个2048位的RSA密钥对,并将其保存在/etc/bind/ssl/example.com.key
文件中。
4. 更新DNS区域文件
编辑你的DNS区域文件(在这个例子中是/etc/bind/db.example.com
),并添加DNSSEC相关的记录。例如:
$TTL 604800 @ IN SOA ns1.example.com. admin.example.com. ( 2 ; Serial 604800 ; Refresh 86400 ; Retry 2419200 ; Expire 604800 ) ; Negative Cache TTL ; @ IN NS ns1.example.com. ns1 IN A 192.168.1.1 www IN A 192.168.1.2
5. 重新加载BIND配置
保存并关闭配置文件后,重新加载BIND配置以应用更改:
sudo systemctl reload bind9
6. 验证DNSSEC配置
你可以使用dig
工具来验证你的DNS服务器是否正确配置了DNSSEC。例如:
dig @localhost example.com SOA +noall +answer +dnssec
如果配置正确,你应该会看到类似以下的输出:
; <<>> DiG 9.16.1-Ubuntu <<>> @localhost example.com SOA +noall +answer +dnssec example.com. 3600 IN SOA ns1.example.com. admin.example.com. ( 2 ; Serial 604800 ; Refresh 86400 ; Retry 2419200 ; Expire 604800 ) ; Negative Cache TTL example.com. 3600 IN NS ns1.example.com. ns1.example.com. 3600 IN A 192.168.1.1 www.example.com. 3600 IN A 192.168.1.2
注意,+dnssec
选项表示查询包含了DNSSEC签名。
通过以上步骤,你已经在Linux DNS服务器上成功启用了DNSSEC。