RUBICON's Home

로그인

아이디
암 호

회원가입 암호분실

проститутки, досуг, индивидуалки, интим http://youdosug.com - проститутки, досуг, индивидуалки, интим

Home

끄적끄적

리눅스

쇼핑몰

게임

아바타샵

리눅스 Tech 게시판

2024. 05. 05.

[Tip] bind_9.x_설정

날짜: 2002.05.28. 14:04:37 조회: 416

9.1.3rc1을 설치하고 DNSSEC을 시험해봤습니다. 일단 작동하고 있다는 것만 확인했습니다. 아래와 같이 했습니다.(설정 방법에 대한 언급이 배포된 문서에는 없고, <http://www.isc.org/>의 FAQ에도 9.1.x 버젼에 대한 것이 아니라 9.0.x 시절에 작성한 것으로 보이는 내용이 있는데, 낡은 것이지만 유추해석하는 데 도움이 되었습니다.)

1. DNSSEC 키를 생성합니다. Red Hat은 named를 name 유저에 named 그룹에
속하는 것으로 하고 있기 때문에, 아래와 같이 하였습니다.

dnssec-keygen -a hmac-md5 -b 512 -n ZONE -r /dev/random named

이렇게 하면, 현재 작업 디렉토리에 Knamed.+157+61652.key,
Knamed.+157+61652.private라는 두 가지 파일이 만들어집니다.

2. 의의 key 파일 중 Knamed.+157+61652.key의 내용 중 base64로 인코딩
된 것을 /etc/rndc.conf의 'key' 설정 중 secure 항목에 복사합니다.
key의 이름은 적당히 붙입니다. 저는 'mykey'로 하였습니다.

예를들면, 아래와 같습니다.(제가 한 것과는 물론 다르죠)

key "mykey" {
algorithm hmac-md5;
secret "JHAqThzehwRzCQjtBQdVR0pdKkXaIuiCAaVfzsRtLPeunsRyskWRbasvOOck";
};

3. 이것을 그대로 /etc/named.conf의 적당한 대목에 복사합니다. 마우스로
긁어서 옮기면 되죠. 그 다음 중요한 것인데, 다음의 내용을
/etc/named.conf에 설정하여야 합니다. 이것은 bind-9.x.x의 CHANGES 파일
에 나오는데, 다른 어디에서도 언급하지 않는 대목이더군요. 논리적으로
봐서는 이 대목이 앞서의 key 설정 대목보다 위로 가는 게 좋겠죠.
아래에 예를듭니다.

controls {
inet * port 1500
allow { any; } keys { "mykey"; };
};

key "mykey" {
algorithm hmac-md5;
secret "JHAqThzehwRzCQjtBQdVR0pdKkXaIuiCAaVfzsRtLPeunsRyskWRbasvOOck";
};

위 'controls' 설정에서 port 번호는, CHANGES 파일에서는 1024로 되어
있습니다. 제 시스템에서는 로칼에서 NFS를 사용하는데, rpc.statd가 이
포트를 쓰고 있기 때문에 1500으로 수정하였습니다. 자신의 시스템에서
임의로 정한 포트를 다른 프로그램이 이미 사용하고 있는 지 여부를 알려
면, 'fuser -n tcp 1024'해서 파악된 프로세스 ID에 근거하여
'ps ax | grep PID' 하면 됩니다.

4. 이제 /etc/named.conf에서 각 zone, reverse zone 설정 *전체*에 아래와
같은 내용을 추가합니다.(root cache와 localhost zone은 할 필요가 없겠죠)

allow-update { key "mykey"; };

하나만 예를들면 아래와 같습니다.

zone "plw.net" {
type master;
file "plw.net.zone";
notify no;
allow-update { key "mykey"; };
};

5. 이제 1에서 생성한 2개의 key 파일을 /var/named로 복사합니다.(named의
FAQ에 의하면 클라이언트 호스트의 /var/named라고 말하고 있는데, 저는
그냥 bind9가 설치된 제 pc의 거기에 시험삼아 옮겨보고 하는데, 잘 되는군
요)

6. '/etc/rc.d/init.d/named restart'해서 named를 재실행합니다.

제대로 되면 /var/log/messages에 아래와 같은 내용이 보여야 합니다.
그대로 옮기니 행이 너무 길어져 연도, 날짜, 시각은 생략하였습니다.
마지막의 'running'이 보여야 제대로 실행된 것입니다. 위의 named
스크립트를 실행할 때는 성공 여부를 잘 모르는 수가 많습니다.

progress named: named shutdown succeeded
progress named: named startup succeeded
progress named[3842]: starting BIND 9.1.3rc1 -u named
progress named[3842]: using 1 CPU
progress named[3846]: loading configuration from '/etc/named.conf'
progress named[3846]: no IPv6 interfaces found
progress named[3846]: listening on IPv4 interface lo, 127.0.0.1#53
progress named[3846]: listening on IPv4 interface eth0, 192.168.2.1#53
progress named[3846]: listening on IPv4 interface eth1, 192.168.1.1#53
progress named[3846]: listening on IPv4 interface ppp0, 211.58.12.247#53
progress named[3846]: command channel listening on 0.0.0.0#1500
progress named[3846]: running

7. rndc, nsupdate 명령이 듣는 지 시험한다.

7-1) /usr/sbin/rndc -p 1500 reload
현재 rndc는 8.x.x 이전 버젼의 ndcd에 비해 구현된 기능이 적습
니다.

7-2) /us/nsupdate -d -k /var/named/Knamed.+157+61652.key

nsupdate의 경우는 성공적이면 셸 형태로 명령을 내려야 합니다. 자
세한 것은 'man nsupdate'해서 살펴보시길 ...

추신 #1 :
bind-9.1.x rpm에 같이 배포되는 유틸리티 중 name-checkconf는 잘
작동하나 named-checkzone은 좀 문제가 있는 것같군요. named가 실행
되면서 아무런 경고를 내지도 않는데(디버깅 옵션을 준 상태에서도),
이건 계속 뭔가가 잘못되었다고 경고를 내고 있군요. 결과적으로 name
lookup 등은 잘 작동하는데 ...

추신 #2:
오늘 질문 덕에 그 동안, 신경도 안 쓰고 있던 DNSSEC에 살펴보고 약
간의 정리를 할 기회를 가졌습니다. 감사합니다. :-)

---------------------------------------------------------------------------
--
.~. 리눅스 한글 팁 프로젝트 - <http://kltp.kldp.org/>
/V\ KorWeblog 뉴스/포럼 - <http://weblog.kldp.org/>
/( )\ Koru.org - 러시아 한인의 인터넷 커뮤니티 <http://Koru.org>
^^-^^ 임 은재 mailto:eunjea@kldp.org <http://linux.koru.org/>