로그인
아이디
암   호
회원가입   암호분실
проститутки, досуг, индивидуалки, интим http://youdosug.com - проститутки, досуг, индивидуалки, интим
  Home
  끄적끄적
  리눅스
  쇼핑몰
  게임
  아바타샵
  아바타관리자
  HTML 교육 예제1
  HTML 교육 예제2
  테스트페이지


리눅스 Tech 게시판


ADMIN 2021. 05. 09.
 [Tip] bind_9.x_설정
  날짜: 2002.05.28. 14:04:37   조회: 292
9.1.3rc1을 설치하고 DNSSEC을 시험해봤습니다. 일단 작동하고 있다는 것만 확인했습니다. 아래와 같이 했습니다.(설정 방법에 대한 언급이 배포된 문서에는 없고, <http://www.isc.org/>의 FAQ에도 9.1.x 버젼에 대한 것이 아니라 9.0.x 시절에 작성한 것으로 보이는 내용이 있는데, 낡은 것이지만 유추해석하는 데 도움이 되었습니다.)

1. DNSSEC 키를 생성합니다. Red Hat은 named를 name 유저에 named 그룹에
속하는 것으로 하고 있기 때문에, 아래와 같이 하였습니다.

dnssec-keygen -a hmac-md5 -b 512 -n ZONE -r /dev/random named


이렇게 하면, 현재 작업 디렉토리에 Knamed.+157+61652.key,
Knamed.+157+61652.private라는 두 가지 파일이 만들어집니다.

2. 의의 key 파일 중 Knamed.+157+61652.key의 내용 중 base64로 인코딩
된 것을 /etc/rndc.conf의 'key' 설정 중 secure 항목에 복사합니다.
key의 이름은 적당히 붙입니다. 저는 'mykey'로 하였습니다.

예를들면, 아래와 같습니다.(제가 한 것과는 물론 다르죠)

key "mykey" {
algorithm hmac-md5;
secret "JHAqThzehwRzCQjtBQdVR0pdKkXaIuiCAaVfzsRtLPeunsRyskWRbasvOOck";
};

3. 이것을 그대로 /etc/named.conf의 적당한 대목에 복사합니다. 마우스로
긁어서 옮기면 되죠. 그 다음 중요한 것인데, 다음의 내용을
/etc/named.conf에 설정하여야 합니다. 이것은 bind-9.x.x의 CHANGES 파일
에 나오는데, 다른 어디에서도 언급하지 않는 대목이더군요. 논리적으로
봐서는 이 대목이 앞서의 key 설정 대목보다 위로 가는 게 좋겠죠.
아래에 예를듭니다.

controls {
inet * port 1500
allow { any; } keys { "mykey"; };
};


key "mykey" {
algorithm hmac-md5;
secret "JHAqThzehwRzCQjtBQdVR0pdKkXaIuiCAaVfzsRtLPeunsRyskWRbasvOOck";
};

위 'controls' 설정에서 port 번호는, CHANGES 파일에서는 1024로 되어
있습니다. 제 시스템에서는 로칼에서 NFS를 사용하는데, rpc.statd가 이
포트를 쓰고 있기 때문에 1500으로 수정하였습니다. 자신의 시스템에서
임의로 정한 포트를 다른 프로그램이 이미 사용하고 있는 지 여부를 알려
면, 'fuser -n tcp 1024'해서 파악된 프로세스 ID에 근거하여
'ps ax | grep PID' 하면 됩니다.

4. 이제 /etc/named.conf에서 각 zone, reverse zone 설정 *전체*에 아래와
같은 내용을 추가합니다.(root cache와 localhost zone은 할 필요가 없겠죠)

allow-update { key "mykey"; };

하나만 예를들면 아래와 같습니다.

zone "plw.net" {
type master;
file "plw.net.zone";
notify no;
allow-update { key "mykey"; };
};


5. 이제 1에서 생성한 2개의 key 파일을 /var/named로 복사합니다.(named의
FAQ에 의하면 클라이언트 호스트의 /var/named라고 말하고 있는데, 저는
그냥 bind9가 설치된 제 pc의 거기에 시험삼아 옮겨보고 하는데, 잘 되는군
요)

6. '/etc/rc.d/init.d/named restart'해서 named를 재실행합니다.

제대로 되면 /var/log/messages에 아래와 같은 내용이 보여야 합니다.
그대로 옮기니 행이 너무 길어져 연도, 날짜, 시각은 생략하였습니다.
마지막의 'running'이 보여야 제대로 실행된 것입니다. 위의 named
스크립트를 실행할 때는 성공 여부를 잘 모르는 수가 많습니다.

progress named: named shutdown succeeded
progress named: named startup succeeded
progress named[3842]: starting BIND 9.1.3rc1 -u named
progress named[3842]: using 1 CPU
progress named[3846]: loading configuration from '/etc/named.conf'
progress named[3846]: no IPv6 interfaces found
progress named[3846]: listening on IPv4 interface lo, 127.0.0.1#53
progress named[3846]: listening on IPv4 interface eth0, 192.168.2.1#53
progress named[3846]: listening on IPv4 interface eth1, 192.168.1.1#53
progress named[3846]: listening on IPv4 interface ppp0, 211.58.12.247#53
progress named[3846]: command channel listening on 0.0.0.0#1500
progress named[3846]: running


7. rndc, nsupdate 명령이 듣는 지 시험한다.

7-1) /usr/sbin/rndc -p 1500 reload
현재 rndc는 8.x.x 이전 버젼의 ndcd에 비해 구현된 기능이 적습
니다.

7-2) /us/nsupdate -d -k /var/named/Knamed.+157+61652.key

nsupdate의 경우는 성공적이면 셸 형태로 명령을 내려야 합니다. 자
세한 것은 'man nsupdate'해서 살펴보시길 ...

추신 #1 :
bind-9.1.x rpm에 같이 배포되는 유틸리티 중 name-checkconf는 잘
작동하나 named-checkzone은 좀 문제가 있는 것같군요. named가 실행
되면서 아무런 경고를 내지도 않는데(디버깅 옵션을 준 상태에서도),
이건 계속 뭔가가 잘못되었다고 경고를 내고 있군요. 결과적으로 name
lookup 등은 잘 작동하는데 ...

추신 #2:
오늘 질문 덕에 그 동안, 신경도 안 쓰고 있던 DNSSEC에 살펴보고 약
간의 정리를 할 기회를 가졌습니다. 감사합니다. :-)

---------------------------------------------------------------------------
--
.~. 리눅스 한글 팁 프로젝트 - <http://kltp.kldp.org/>
/V\ KorWeblog 뉴스/포럼 - <http://weblog.kldp.org/>
/( )\ Koru.org - 러시아 한인의 인터넷 커뮤니티 <http://Koru.org>
^^-^^ 임 은재 mailto:eunjea@kldp.org <http://linux.koru.org/>

LIST  MODIFY DELETE WRITE REPLY 





전체글 목록 2021. 05. 09.  전체글: 104  방문수: 47182
13 [TIP] perl 기본 출력 형식 예제  2003.07.09.272
12 [TIP] 펄에서 기본 언어 타입 정해주기  2003.07.09.286
11 [자료] 웹사이트 성능개선 위한 커널 튜닝 사례  2003.04.16.288
10 제로보드 fix 스크립트  2003.03.08.331
9 PHP 4.2.1 컴파일 하기  2002.11.20.1036
8 ncftp 에 관한 몇가지 팁들  2002.07.26.321
7 BIND 9로 업그레이드하기: 알아야 할 9가지 특성  2002.05.28.404
6 [Tip] bind_9.x_설정  2002.05.28.292
4 [설치] rpm 설치 방법  2002.01.23.983
3 [팁] rpm 의존성 에러시 관련 파일 찾기  2002.01.23.286
84 oHNxLGEvAIQulIocow  2011.10.27.217
2 Red Hat 6.2 에서 up2date를 이용한 자동 업그레이드  2002.01.23.779
5 re: 인터넷제국에서 설치해 준 서버에 up2date 가 안될 경우  2002.05.27.265
1 System 변형 여부 Check (Redhat) : rpm -V  2002.01.23.303
RELOAD WRITE
[1] [2] [3] 4 





Copyrightⓒ 2002 RUBICON