Bind 9.8.1-P1: DNSSEC signierte Zone einrichten wird ganz einfach

Ich muss sagen ich bin beeindruckt: mit Bind 9.8.1-P1 ist es jetzt noch einfacher geworden eine mit DNSSEC signierte Zone einzurichten.

Schlüssel erzeugen

Hierzu befinde ich mich für das Beispiel in /etc/bind/master/keys.

dnssec-keygen -f KSK example.com
dnssec-keygen example.com

Falls dieser Vorgang sehr lange dauert, weil man auf einer virtuellen Maschine unterwegs ist, kann man das ganze unter Ausnutzung von /dev/urandom (unter den üblichen kryptographischen Vorbehalten) beschleunigen:

dnssec-keygen -r /dev/urandom -f KSK example.com
dnssec-keygen -r /dev/urandom example.com

Die Zone in Bind für DNSSEC konfigurieren

Jetzt fehlt nur noch die Konfiguration für die Zone:

zone "example.com" {
  auto-dnssec maintain;
  type master;
  update-policy local;
  file "/etc/bind/master/example.com";
  key-directory "/etc/bind/master/keys";
};

Bind reload und fertig. 🙂

Mit den Zonen-Updates bin ich hier aber noch nicht ganz warm geworden. Dazu und hoffentlich auch zu den Key-Rollovern bald mehr. Bin dahin empfehle ich zur weiteren Lektüre: ISC: DNSSEC and Bind.

Artikel Updates

Xen: IPv6 in domU nutzen

Ich habe einen Server bei Hetzner und damit eigentlich schon länger natives IPv6. Bisher habe ich es aber nicht geschafft das IPv6 auf die Xen domU zu kriegen. Das Netz kommt nativ auf dem Ethernet an, Teile weiterrouten bzw. tunneln fällt damit flach. Nebenbei sei noch erwähnt, dass statt ARP bei IPv6 NDP (Neighbor Discovery Protocol) zum Einsatz kommt. Ich habe mir zwei Anleitungen angeschaut, mit denen ich mein Setup dann hinbekommen habe:

Die Anleitungen sind aber für IPv6-only geschrieben.

WeiterlesenXen: IPv6 in domU nutzen