DNS服务器之八：rndc和TSIG安全防护DNS服务器

BIND9提供的rndc(remote name daemon control)功能，其实是BIND 8的rnc的延伸，方便了系统管理者远端或本地来管理DNS服务器。

rndc

1：本地管理DNS

生成rndc.key文件

输入命令：

生成/etc/rndc.key文件，类似这样的密钥

替换secret 密钥

将rndc.conf 上面部分的secret 密钥替换成rndc.key文件的secret密钥

（上面部分的secret密钥我已经替换成rndc.key文件的secret的密钥了，故而上下不一样，默认是一样的）

把/etc/rndc.conf下面这段文字拷贝到/etc/named.conf文件末尾：

添加了密钥的named.conf文件

见图解：

重点：

也就是说rndc.key  rndc.conf  namd.conf文件里的secret密钥要一致

测试，看是否设置成功

重启namd服务，查看日志：

输入命令：tail  /var/log/messages

出现这行，就表示成功设置

使用rndc命令本地管理DNS

输入命令：rndc status

本地端管理DNS服务器成功设置

2、远端管理DNS

修改DNS服务器主机/etc/named.conf配置文件

只允许远端192.168.1.113管理DNS服务器

重启namd服务

输入tail  /var/log/messages

远端可以管理了

远端192.168.1.113客户端的配置：

将远端的rndc.key 和rndc.conf 的secret设置成服务端的secret就可以额

不再赘述。

TSIG（Transaction Signature）功能是指主/辅DNS服务器之间的区域数据传输是经过加密的，

防止非法DNS服务器获取主DNS服务器的数据。

TSIG

生成key值

注意命令dnssec-keygen的用法，具体参数详情见man  dnssec-keygen ，解释的非常完美。

注意key值存在Kmykey.+157+32361.key中

在主/辅的DNS服务器将keyz值分别添加到named.ocnf末尾

在主/辅DNS服务器的zone区域添加如下：

即可。

重启named服务

查看tail  /var/log/messages 没有报错，说明配置成功，以后主/辅之间的区域数据传输使用

TSIG加密来传输数据。

==========================================================================================================