接上文:DNS-实验1_简单配置和主从DNS
三、实现主从加密传输:
创建密钥:
- cd /etc/named
- dnssec-keygen -a HMAC-MD5 -b 128 -n HOST ns-ns2.mos.com.
(-a指定加密算法HMAC-MD5, -b指定128位密钥长度,-n指定文件密钥所指定的主机)
- cat /etc/named/Kns-ns2.mos.com.+157+37227.private |grep Key|cut -d" " -f2
(复制显示出来的内容,其实我们也就需要这么点东西.)
配置主DNS服务:
- vim /etc/named.conf
- //在options段落下方,加入如下行:(不是非要在这,但是要在需要加密的传输段落之上)
- key moskey { //密钥名字,用于下方引用
- algorithm hmac-md5; //告知服务器密钥的加密算法
- secret "PXaMsDVKXfvANtFq7xWtqg=="; //密钥段
- };
-
- server 172.16.35.2{ //定义给哪个服务器使用的名字
- keys { moskey; }; //给这个服务器使用上面定义的密钥加密传输
- };
- //下面两段仅为修改即可,并非加入
- zone "mos.com" IN {
- type master;
- file "mos.zone";
- notify yes;
- also-notify { 172.16.35.2; };
- allow-transfer { 172.16.35.2; key moskey; }; //使用之前定义的密钥,进行传输
- };
- zone "16.172.in-addr.arpa" IN {
- type master;
- file " 172.16.zone";
- notify yes;
- also-notify { 172.16.35.2; };
- allow-transfer { 172.16.35.2; key moskey; };
- };
从DNS配置:
- vim /etc/named.conf
- //以下内容,是添加,并非修改为,请注意!!!
- //在options段落的下方添加如下内容
- key moskey {
- algorithm hmac-md5;
- secret "PXaMsDVKXfvANtFq7xWtqg==";
- };
-
- server 172.16.35.1 { //接收哪个是哪个服务器的
- keys { moskey; }; //使用之上定义的密钥
- };
OK,到此,主从完成,添加主服务器数据库文件的资源条目,并修改其序列号后重启服务测试即可。
注:加密传输必须保证两台服务器时间一致,否则一定报错,笔者当时就为此排错花掉近1个小时!!