# rm-rf.es | Administración de sistemas

Bitácora personal de un SysAdmin Gnu/Linux, Windows, BSD...

Ene 18, 2009

Instalación DNSSEC-Tools CentOS

DNSSEC-Tools son un conjunto de aplicaciones, extensiones y plugins cuyo fin es hacer más sencillas las tareas a realizar en un servidor DNS con DNSSEC, como por ejemplo firmar zonas, actualizaciones, generación de llaves, etc.

En Fedora, puede instalarse directamente vía YUM:

yum install dnssec-tools dnssec-tools-libs dnssec-tools-perlmods

Y para instalar los paquetes de desarrollo:

yum install dnssec-tools-libs-devel dnssec-tools-debuginfo

Yo en CentOS lo instalé compilando a mano, el proceso es el siguiente, podéis descargar las sources de la web de dnssec-tools:

Primero instalaremos unos módulos de perl necesarios:

perl -MCPAN -e shell
     cpan>  install Net::DNS
     cpan>  install Net::DNS::SEC
     cpan>  install Text::Wrap
     cpan>  install  Date::Parse

Necesitaremos también los compiladores para compilar dnssec-tools:

yum install gcc

Y openssl:

yum install openssl.i686 openssl-devel

Ahora compilamos con:

./configure

make

make install

A la hora de hacer el configure nos pedirá unas cuantas rutas a ficheros, como el named.ca, resolv.,conf, etc. Una vez compilado, la primera vez tenemos que ejecutar un asistente de configuración (lo que hace es configurar el fichero /usr/local/etc/dnssec-tools/dnssec-tools.conf):

dtinitconf

Si el fichero existe habrá que sobreescribirlo:

 dtinitconf -overwrite

Y el proceso del asistente es algo similar a esto:

Path-related Options:
	These directories contain BIND programs:
		/usr/local/sbin
		/usr/sbin 

	BIND directory [/usr/local/sbin]:  /usr/sbin/named 

	Image Display Program [/usr/X11R6/bin/xview]:  

	Checking validity of paths:
		BIND's named_checkzone (/usr/sbin/named/named-checkzone) does not exist
		BIND's dnssec_keygen (/usr/sbin/named/dnssec-keygen) does not exist
		BIND's dnssec_signzone (/usr/sbin/named/dnssec-signzone) does not exist
		Image display program (/usr/X11R6/bin/xview) does not exist 

	At least one path did not exist.
	Would you like to try again?   [yes]:  yes 

Path-related Options:
	These directories contain BIND programs:
		/usr/local/sbin
		/usr/sbin 

	BIND directory [/usr/local/sbin]:  /usr/sbin 

	Image Display Program [/usr/X11R6/bin/xview]:  

	Checking validity of paths:
		Image display program (/usr/X11R6/bin/xview) does not exist 

	At least one path did not exist.
	Would you like to try again?   [yes]:  no 

Key-related Options:
	Encryption Algorithm [rsasha1]:  rsasha1
	Random-number Generator [/dev/urandom]:  /dev/urandom
	KSK Length (in bits) [2048]:  2048
	KSK Lifespan (in seconds) [15552000]:  15552000
	ZSK Length (in bits) [1024]:  1024
	ZSK Lifespan (in seconds) [604800]:  604800
	ZSK Count [1]:  1 

Zone-related Options:
	End-time [+2592000]:  2592000 

DNSSEC-Tools Options:
	Use DNSSEC-Tools GUI Interface [no]:  no
	Display Entropy Message in Zonesigner [yes]:  yes
	Save Old Keys [yes]:  yes
	Key Archive Directory [no default]:  /var/named/chroot/var/key_archive 

	Key-Generation Options [no default]:
	Zone-Checking Options [no default]:
	Zone-Signing Options [no default]:  

	Roll-over Manager's Logfile [/usr/local/etc/dnssec-tools/log-rollerd]:
	Roll-over Manager's Logging Level [info]
	    (valid values:  tmi, expire, info, phase, err, fatal):  info
	Roll-over Manager's Sleep-time [3600]:  

	TrustMan's contact address [no default]:
	TrustMan's SMTP server [no default]:

Una vez finalizado podremos generar las llaves y firmar una zona con el comando zonesigner, ejemplo:

zonesigner -genkeys -endtime +2678400 dominio.com

También te puede interesar:

Categoría: Manuales, Seguridad | Etiquetas: centos, dnssec, DNSSEC-Tools, instalación

Deja una respuesta × Cancel reply

Entradas recientes

Comentarios recientes

Categorías

Política de privacidad | Grid Focus, 5thirtyone.com | Licencia Creative Commons | Hosting Sync.es | Guitarra

Whitespace