dnssec-keygen(1M)

最新推荐文章于 2024-11-14 22:44:55 发布
最新推荐文章于 2024-11-14 22:44:55 发布
阅读量699 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 操作系统 python 运维
原文链接:http://www.cnblogs.com/syuee/p/9083793.html
dnssec-keygen 是用于DNSSEC安全DNS密钥生成的工具,遵循RFC 2535和RFC 4034标准。它可以生成TSIG事务签名密钥(如RFC 2845所述)。该工具在成功运行后,会在标准输出中输出密钥标识字符串,并创建包含公钥和私钥的文件。示例中展示了如何生成768位DSA密钥。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

名称

dnssec-keygen - DNSSEC 密钥生成工具

用法概要

dnssec-keygen -a algorithm -b keysize -n nametype [-ehk] 
     [-c class] [-f flag] [-g generator] [-p protocol] 
     [-r randomdev] [-s strength] [-t type] [-v level] name

描述

dnssec-keygen 实用程序为 DNSSEC(安全 DNS)生成密钥,如 RFC 2535 和 RFC 4034 中定义的那样。它还可以生成与 TSIG(Transaction Signature,事务签名)一起使用的密钥,如 RFC 2845 中定义的那样。

选项

支持以下选项:

–a algorithm

选择加密算法。algorithm 的值必须是 RSAMD5 (RSA) 或 RSASHA1 之一、DSA、NSEC3RSASHA1、NSEC3DSA、DH (Diffie-Hellman) 或 HMAC-MD5。这些值不区分大小写。

对于 DNSSEC,RSASHA1 是强制实现的算法;DSA 是建议的算法。对于 TSIG,HMAC-MD5 是强制算法。

注 - HMAC-MD5 和 DH 自动设置 –k 标志。
–b keysize

指定密钥中的位数。密钥大小的选择取决于使用的算法。RSAMD5 和 RSASHA1 密钥必须在 512 和 2048 位之间。Diffie-Hellman 密钥必须在 128 和 4096 位之间。DSA 密钥必须在 512 和 1024 位之间,并且必须是 64 的整数倍。HMAC-MD5 密钥必须在 1 位和 512 位之间。

–c class

表明包含密钥的 DNS 记录应该具有指定类。如果没有指定,将使用类 IN。

–e

如果生成 RSAMD5 或 RSASHA1 密钥,则使用大指数。

–f flag

在 KEY/DNSKEY 记录的标志字段中设置指定的标志。唯一识别的标志是 KSK(Key Signing Key,密钥签名密钥)DNSKEY。

–g generator

如果生成 Diffie Hellman 密钥,则使用此 generator。允许的值是 2 和 5。如果没有指定 generator,则将使用 RFC 2539 中的已知索数(如果可能);否则,缺省值是 2。

–h

列出 dnssec-keygen 的选项和参数的简短摘要。

–k

生成 KEY 记录,而不是 DNSKEY 记录。

–n nametype

指定密钥的所有者类型。nametype 的值必须是 ZONE(对于 DNSSEC 区域密钥 (KEY/DNSKEY))、HOSTENTITY(对于与主机相关的密钥 (KEY))、USER(对于与用户相关的密钥 (KEY))或 OTHER (DNSKEY)。这些值不区分大小写。缺省值是 ZONE(用于生成 DNSKEY)。

–p protocol

为生成的密钥设置协议值。protocol 参数是 0 到 255 之间的数字。缺省值是 3 (DNSSEC)。在 RFC 2535 及其后续版本中列出了此参数的其他可能值。

–r randomdev

指定随机源。如果操作系统不提供 /dev/random 或等效设备,则缺省的随机源是键盘输入。randomdev 指定字符设备的名称或包含要使用的随机数据的文件(而非缺省文件)。特殊值 "keyboard" 表示应该使用键盘输入。

–s strength

指定密钥的强度值。strength 参数是 0 到 15 之间的数字,且当前尚未在 DNSSEC 中定义其用途。

–t type

表明密钥的用途。type 必须是 AUTHCONFNOAUTHCONFNOAUTHNOCONF 之一。缺省值是 AUTHCONFAUTH 指的是验证数据的能力,CONF 指的是加密数据的能力。

–v level

设置调试级别。

生成的密钥

生成的密钥

dnssec-keygen 成功完成时,会向标准输出中输出 Knnnn.+aaa+iiiii 格式的字符串。这是其生成的密钥的标识字符串。

  • nnnn 是密钥名称。

  • aaa 是算法的数字表示。

  • iiiii 是密钥标识符(或足迹)。

dnssec-keygen 实用程序创建两个文件,并根据列出的字符串命名这两个文件。

  • Knnnn.+aaa+iiiii.key 包含公钥。

  • Knnnn.+aaa+iiiii.private 包含私钥。

.key 文件包含 DNS KEY 记录,该记录可以直接插入到区域文件,也可以使用 $INCLUDE 语句插入。

.private 文件包含算法特定的字段。出于安全原因,此文件不具有一般读取权限。

对于对称加密算法(如 HMAC-MD5),将生成 .key.private 文件,即使公钥和私钥等效也如此。

示例

示例 1 生成 768 位 DSA 密钥

要为域 example.com 生成 768 位 DSA 密钥,则将发出以下命令:

dnssec-keygen -a DSA -b 768 -n ZONE example.com

该命令将列出以下格式的字符串:

Kexample.com.+003+26160

将创建以下文件:

Kexample.com.+003+26160.key
Kexample.com.+003+26160.private

属性

有关下列属性的说明,请参见 attributes(5)

属性类型
属性值
可用性
service/network/dns/bind
接口稳定性
Volatile(可变)

转载于:https://www.cnblogs.com/syuee/p/9083793.html

13、CoreDNS 安全扩展与监控:从 DNSSEC 到实际应用
uuu88的博客
08-05 9
本文介绍了如何使用 CoreDNS 实现 DNSSEC 安全扩展,包括静态区域签名和实时签名的方法,并探讨了 CoreDNS 在实际应用中的安全与监控功能。通过 BIND 工具生成密钥、签名区域,以及使用 CoreDNS 的 dnssec 插件实现动态签名,增强了 DNS 服务的安全性。同时,结合 Infoblox 的 BloxOne 威胁防御案例,展示了 CoreDNS 在用户识别、策略应用和日志记录方面的实际应用。最后,通过 Prometheus 插件对 CoreDNS 进行性能监控,确保服务的稳定运行
企业 dns 服务器搭建
weixin_54720351的博客
04-05 3452
企业 dns 服务器搭建 1. dns 的名词解释2. dns 服务的安装与启用3. 高速缓存 dns4. dns 的 正向解析[root@westos_student17 named]# systemctl restart named ##当两个文件中的任何文件内容编写的有问题时,重启服务时会报错; Job for named.service failed because the control process exited with error code. See "systemctl status
dnssec 命令
mudawei1的博客
08-05 453
config 1:     dnssec-keygen -f KSK -a RSASHA1 -b 512 -n ZONE edu.com. dnssec-keygen -a RSASHA1 -b 512 -n ZONE edu.com. dnssec-signzone -o  edu.com. db.edu.com systemctl restart named dnssec-s
DNS基于TSIG 的安全密钥传送
weixin_34218579的博客
10-20 675
DNS 面临的安全问题: Host Enumberation :主机枚举 应该限定用密钥进行传送 用TSIG : 事物签名 来解决 TSIG: Transaction Signatures 事物签名 基于对称密钥加密技术的的DNS报文认证机制。密钥生成后存放至通信双方的配置文件中,报文传送前使用此密钥进行“签名”。事实上,由于使用的是对称加密技术,这里并不是实现...
Linux服务篇-DNS域名系统篇
浅水鲤鱼的博客
10-15 588
一、DNS DNS的内容比较多 DNS(Domain Name System)域名系统,在TCP/IP 网络中有非常重要的地位,能够提供域名与IP地址的解析服务 DNS 是一个分布式数据库,命名系统采用层次的逻辑结构,如同一棵倒置的树,这个逻辑的树形结构称为域名空间,由于DNS 划分了域名空间,所以各机构可以使用自己的域名空间创建DNS信息。 DNS 域名空间中,树的最大深度不得超过127 层,树中每个节点最长可以存储63 个字符 模式:C/S模式 端口:53 #用于客户端查询;953,用于DNS
加密传输
weixin_50848363的博客
11-15 267
生成一个主机名称为master-slave的128位HMAC-MD5算法的密钥文件(公钥+私钥) dnssec-keygen -a HMAC-MD5 -b 128 -n HOST master-slave 切换目录 cd /var/named/chroot/etc 创建文件 vim transfer.key 切换目录 cd /etc/ vim named.conf 第九行include “/etc/transfer.key”; 第18行 allow-transfer {key master-sl
高速缓存DNS服务器
weixin_44345349的博客
04-15 961
设置高速缓存服务器
在 Linux/CentOS上配置 DNS服务器(使用Bind提供域名解析服务)
qq_42779175的博客
12-25 877
DNS域名解析服务 相较于由数字构成的IP地址,域名更容易被理解和记忆,所以我们通常更习惯通过域名的方式来 访问网络中的资源。但是,网络中的计算机之间只能基于IP地址来相互识别对方的身份,而且要想在互联网中传输数据,也必须基于外网的IP地址来完成。 为了降低用户访问网络资源的门槛,DNS(Domain Name System,域名系统)技术应运而生。这是一项用于管理和解析域名与IP地址对应关系的技...
以下是关于这个实验的关键词整合,这些关键词可以帮助另一位 AI 更好地理解任务需求: 实验主题 • DNS欺骗攻击(DNS Spoofing) • 网络钓鱼模拟 • 网络安全防御措施验证 实验环境 • 虚拟局域网(VMware/VirtualBox) • IP段:192.168.1.0/24 实验角色及工具 • 攻击者主机: • 系统:Kali Linux • 工具:Ettercap、Scapy • 功能:实施ARP欺骗和DNS响应伪造 • 钓鱼服务器: • 系统:Apache服务器 • 工具:SEToolkit(Social-Engineer Toolkit) • 功能:托管伪造的钓鱼页面(如假银行登录页) • 目标主机: • 系统:Windows 10或Ubuntu • 功能:模拟普通用户访问被劫持的网站 • 合法DNS服务器: • 工具:Bind9、Dnsmasq • 功能:提供正常域名解析服务 • 防御设备: • 工具:Wireshark、Suricata、Snort • 功能:监控流量并检测异常行为 实验步骤关键词 • 环境配置: • 攻击者主机配置IP转发:echo 1 > /proc/sys/net/ipv4/ip_forward • 启动Apache并部署钓鱼页面:使用SEToolkit选择“钓鱼攻击”>“网站克隆”>输入目标URL • ARP欺骗(中间人攻击): • 使用Ettercap劫持目标主机流量:ettercap T i eth0 M arp:remote /目标IP// /网关IP// • DNS响应伪造: • 修改Ettercap的DNS配置文件:/etc/ettercap/etter.dns • 添加伪造解析规则:.google.com A 钓鱼服务器IP • 启动DNS欺骗插件:ettercap T i eth0 P dns_spoof M arp:remote • 攻击验证: • 在目标主机访问被劫持的域名,观察是否跳转至钓鱼页面 • 捕获用户输入的凭据:查看/var/www/html/post.php文件 防御措施关键词 • DNSSEC验证: • 在合法DNS服务器启用DNSSEC(以Bind9为例): • 生成密钥对:dnssec-keygen -a RSASHA256 -b 2048 -n ZONE google.com • 对区域文件进行签名:dnssec-signzone -A -3 salt -N INCREMENT -o google.com google.com.zone • 目标主机配置强制DNSSEC验证 • HTTPS证书检测: • 在钓鱼服务器部署自签名证书,触发浏览器警告 • 对比用户是否忽略警告继续访问 • 流量监控与IDS检测: • 使用Suricata规则检测异常DNS流量 • 分析Wireshark抓包数据,识别伪造DNS响应的特征 防御执行与管控 • 防火墙动态策略 • 软件定义网络(SDN)技术 • 闭环防护 • 自动更新安全规则 • 差异化防御措施 • 黑名单数据库 • 临时封禁策略 • 人工审核流程 • SDN控制器(如OpenDaylight) • OpenFlow协议 • 蜜罐系统 • 攻击溯源 • 策略分级执行 实验目标 • 模拟DNS欺骗攻击实现网络钓鱼 • 验证DNSSEC、HTTPS、流量监控等防御措施的有效性 • 分析攻击流量特征并提出检测策略 你要写的是一个零基础初学者版本,我什么都不会,所以你要把每一步尽可能详细,把整个实验拆成为若干个小步,一步一步来。还有描述的指令要尽量详细,就是指令是哪一个实验机做的,下一步要做什么都要描写清楚。
05-10
$ sudo dnssec-keygen -a NSEC3RSASHA1 -b 2048 -n ZONE test.com $ sudo dnssec-signzone -A -3 $(head -c 1000 /dev/random | sha1sum | cut -b 1-16) -N INCREMENT -o test.com -t db.test.com # 目标主机验证 $...
域名解析,加密传输,分离解析
xyf_745832117的博客
11-24 589
DNS域名解析服务 相较于由数字构成的IP地址,域名更容易被理解和记忆,所以我们通常更习惯通过域名的方式来访问网络中的资源。但是,网络中的计算机之间只能基于IP地址来相互识别对方的身份,而且要想在互联网中传输数据,也必须基于外网的IP地址来完成。 为了降低用户访问网络资源的门槛,DNS(Domain Name System,域名系统)技术应运而生。这是一项用于管理和解析域名与IP地址对应关系的技术,简单来说,就是能够接受用户输入的域名或IP地址,然后自动查找与之匹配(或者说具有映射关系)的IP地址或域名,即
ARP欺骗技术:DNS欺骗与HTTP重定向_(12).HTTP重定向的防御措施
chenlz2007的博客
11-14 731
在前一节中,我们讨论了如何利用ARP欺骗技术进行DNS欺骗和HTTP重定向。本节将重点介绍HTTP重定向的防御措施,以帮助网络管理员和开发者保护网络和应用程序免受此类攻击的影响。
DNS服务()
weixin_46138661的博客
03-30 319
文章目录五.DNS的反向解析 本片博客接上篇博客DNS服务器的部署接着写: 五.DNS的反向解析
企业dns服务器搭建
m0_55444160的博客
05-17 179
1.关于dns的名词解释 dns解析:上网将域名解析为ip ,而dns:domain name service(域名解析服务) 实验环境: 客户端: etc/resolv.conf dns指向文件 nameserver 172.25.254.29 测试: host www.baidu.com 地址解析命令 dig www.baidu.com 地址详细解析信息命令 服务端:(可上网,ip=172.25.254.29) bind :安装包 named
DNS BIND之dnssec安全介绍
热门推荐
任何技能都是从模仿开始,逐步升华。
04-16 2万+
Domain Name System Security Extensions (DNSSEC)DNS安全扩展,是由IETF提供的一系列DNS安全认证的机制(可参考RFC2535)。它提供了一种来源鉴定和数据完整性的扩展,但不去保障可用性、加密性和证实域名不存在。DNSSEC是为解决DNS欺骗和缓存污染而设计的一种安全机制。
bind服务10---一些安全的机制
frank_ci的博客
11-28 759
一、 bind-chroot 这个安装包是可选的,与安全方面相关。 那bind-chroot包的安装和不安装有区别吗? 这个包是DNS安全包,改变默认的DNS根目录,将DNS运行在监牢模式。默认情况下,我们知道主配置文件 /etc/named.conf、区域文件是 /etc/rfc1912.zones、解析数据文件是下 /var/named。如果DNS服务器一旦被人入侵,通过DNS的漏洞可以访问服务器的根—“/”,整个目录都会拱手让给别人。如果加了bind-chroot这个包,就算被入侵了,也拿不走所有的
linux一键搭建ddns,LINUX下搭建DDNS
weixin_31456563的博客
05-16 1194
DDNS配置记住把 dhcp 和 bind, bind-utils 装上就行了。配置:一 生成密钥# dnssec-keygen -a HMAC-MD5 -b 128 -n USER DHCP_UPDATER这时当前目录下会生成Kdhcp_updater.+xxx+xxxxx.key及.private两个文件# cat Kdhcp_updater.+xxx+xxxxx.keyDHCP_UPDATE...
编译安装bind及SysV服务脚本编写
weixin_33979745的博客
03-27 131
1、解析程序包#wgethttp://ftp.isc.org/isc/bind9/9.7.3/bind-9.7.3.tar.gz #tarxvfbind-9.7.3.tar.gz #cdbind-9.7.3.tar.gz #./configure--prefix=/usr/local/bind9--sysconfdir=/etc/named/...
给DNS设置KEY
a18829898663的博客
05-09 1568
给DNS设置KEY
sudo named-checkconf /etc/bind/named.conf.options:35: 'dnssec-validation' redefined near 'dnssec-validation'
最新发布
06-19
<think>我们正在处理一个关于BIND配置中'dnssec-validation'重复定义的错误。根据用户描述,错误信息是“dnssec-validationredefined”,这通常意味着在配置文件中多次定义了相同的选项。参考引用[1]中提到了检查配置文件(/etc/named.conf和/etc/rndc.conf)的正确性,并且发现是/etc/rndc.conf文件的问题。但是,用户的问题集中在BIND的配置文件,所以我们应该关注named的配置文件(通常是/etc/named.conf或包含的其他文件)。可能的原因:1.在同一个配置文件中多次定义了`dnssec-validation`选项。2.在包含的文件中(通过include语句)重复定义了该选项。解决方案步骤:1.检查主配置文件(通常是/etc/named.conf)和所有包含的文件(比如在/etc/named.conf中include的其他文件)中是否有多处定义了`dnssec-validation`。2.确保在整个配置中只定义一次`dnssec-validation`。具体操作:-使用文本编辑器打开/etc/named.conf,并搜索“dnssec-validation”。-同时检查/etc/named.conf中include的文件,比如一些区域文件或配置片段。-如果发现多处定义,保留一个(通常保留在主配置文件中或者你认为正确的位置),删除其他重复的定义。另外,引用[2]提到了重启named服务,但我们需要先解决配置文件错误。注意:在修改配置文件之前,建议备份。验证配置文件的正确性:在修改后,使用BIND自带的工具`named-checkconf`来检查配置文件语法是否正确:named-checkconf如果没有输出,则表示配置文件没有语法错误。然后重启named服务:systemctlrestartnamed#或者servicenamedrestart因此,解决步骤总结如下:1.查找并删除重复的dnssec-validation定义。2.使用named-checkconf检查配置文件。3.重启named服务。下面我们将详细说明如何操作。</think>### BIND配置中“dnssec-validation redefined”错误解决方案 此错误表示在BIND配置文件(`named.conf`或其包含文件)中多次定义了`dnssec-validation`参数。以下是系统化解决步骤: #### 1. **定位重复定义** ```bash grep -r "dnssec-validation" /etc/named* /etc/rndc.conf ``` 检查输出结果,确认重复定义出现在哪些文件及行号。常见重复场景: - 主配置文件(`/etc/named.conf`)与包含文件(如`/etc/named/options.conf`)同时定义 - 新旧配置片段同时生效 - `rndc.conf`与`named.conf`冲突[^1] #### 2. **修正配置文件** 在文本编辑器中打开相关文件: ```bash sudo vim /etc/named.conf # 主配置文件 sudo vim /etc/rndc.conf # 远程控制配置 ``` 保留**唯一**的`dnssec-validation`定义。标准建议位置: ```nginx # /etc/named.conf 示例 options { directory "/var/named"; dnssec-validation auto; # 仅保留此处定义 ... }; ``` #### 3. **验证配置语法** ```bash sudo named-checkconf ``` 成功时无输出;失败则显示具体错误位置及原因。 #### 4. **重启服务并验证** ```bash sudo systemctl restart named sudo rndc status # 检查服务状态 dig @localhost example.com # 测试DNS解析 ``` #### 5. **深度检查项** - **包含文件冲突**:检查`/etc/named.conf`中`include`语句引入的文件 - **版本兼容**:RHEL/CentOS 8+默认启用DNSSEC,旧版本需显式启用 - **密钥配置**:确保`managed-keys`或`trust-anchors`配置正确[^1] > **关键原理**:`dnssec-validation`是全局选项,BIND要求单一明确定义。重复定义会导致配置加载失败。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值