20.8. DNS 安全性

RFC 2535 中介绍了 DNSSEC(即 DNS 安全性)。BIND 手册讨论了可用于 DNSSEC 的工具。

被认为是安全的区域必须有一个或多个与之关联的区域密钥。这些密钥是通过 dnssec-keygen 生成的,就像主机密钥一样。当前使用 DSA 加密算法来生成这些密钥。应使用 $INCLUDE 规则将所生成的公共密钥包括在相应的区域文件中。

使用命令 dnssec-makekeyset 将生成的所有密钥打包成一个密钥集,然后必须采用安全方式将这个密钥集传送给父区域。在父区域,用 dnssec-signkey 对此密钥集进行签名。然后,通过 dnssec-signzone 使用此命令生成的文件对区域进行签名,这又会为 /etc/named.conf 中的每个区域生成要包含的文件。