在Linux DNS服务器上启用DNSSEC(域名系统安全扩展)可以提高DNS查询的安全性,防止DNS欺骗攻击。以下是在Linux DNS服务器上启用DNSSEC的步骤:
首先,确保你的系统上已经安装了BIND。如果没有安装,可以使用包管理器进行安装。例如,在Debian/Ubuntu系统上,可以使用以下命令:
sudo apt update
sudo apt install bind9 bind9utils bind9-doc
在CentOS/RHEL系统上,可以使用以下命令:
sudo yum install bind bind-utils bind-devel
编辑BIND的主配置文件/etc/bind/named.conf。你可以使用任何文本编辑器来编辑这个文件,例如nano或vi。
sudo nano /etc/bind/named.conf
在配置文件中,找到并注释掉以下行(如果已经存在):
include "/etc/bind/named.conf.default-zones";
然后,添加以下内容:
zone "example.com" {
type master;
file "/etc/bind/db.example.com";
allow-query { any; };
dnssec-validation auto;
};
在这个例子中,我们定义了一个名为example.com的DNS区域,并启用了DNSSEC验证。
为你的域名创建一个DNSSEC签名密钥。你可以使用dnssec-keygen工具来完成这个任务。例如:
sudo dnssec-keygen -a rsa -b 2048 -f /etc/bind/ssl/example.com.key -n SHA256
这个命令会生成一个2048位的RSA密钥对,并将其保存在/etc/bind/ssl/example.com.key文件中。
编辑你的DNS区域文件(在这个例子中是/etc/bind/db.example.com),并添加DNSSEC相关的记录。例如:
$TTL 604800
@ IN SOA ns1.example.com. admin.example.com. (
2 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns1.example.com.
ns1 IN A 192.168.1.1
www IN A 192.168.1.2
保存并关闭配置文件后,重新加载BIND配置以应用更改:
sudo systemctl reload bind9
你可以使用dig工具来验证你的DNS服务器是否正确配置了DNSSEC。例如:
dig @localhost example.com SOA +noall +answer +dnssec
如果配置正确,你应该会看到类似以下的输出:
; <<>> DiG 9.16.1-Ubuntu <<>> @localhost example.com SOA +noall +answer +dnssec
example.com. 3600 IN SOA ns1.example.com. admin.example.com. (
2 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
example.com. 3600 IN NS ns1.example.com.
ns1.example.com. 3600 IN A 192.168.1.1
www.example.com. 3600 IN A 192.168.1.2
注意,+dnssec选项表示查询包含了DNSSEC签名。
通过以上步骤,你已经在Linux DNS服务器上成功启用了DNSSEC。