systemadmin.es > DNS > Actualizaciones dinámicas de zona mediante nsupdate

Actualizaciones dinámicas de zona mediante nsupdate

Anteriormente vimos cómo actualizar zonas DNS a partir de las concesiones DHCP, vamos a ver como realizar actualizaciones dinámicas de DNS mediante nsupdate con una clave

Primero deberemos generar las claves mediante dnssec-keygen:

/usr/sbin/dnssec-keygen -r /dev/urandom -a HMAC-MD5 -b 512 -n HOST -K /etc/named/keys ejemplo

Este comando generará en /etc/named/keys dos ficheros, key y private:

# ls /etc/named/keys/ -l
total 16
-rw------- 1 root root 111 Apr 22 19:52 Kejemplo.+157+40723.key
-rw------- 1 root root 229 Apr 22 19:52 Kejemplo.+157+40723.private

A partir del campo key del fichero private:

# cat Kejemplo.+157+40723.private 
Private-key-format: v1.3
Algorithm: 157 (HMAC_MD5)
Key: KS4bFVqjPx8fr9FqasEUTAok+xBQTUqK9j7rbsLab6fNVuF7QxuDcLRcVj9jRIQx0Ec5zaqivpCWXb0wLqE6JA==
Bits: AAA=
Created: 20150422165215
Publish: 20150422165215
Activate: 20150422165215

Añadiremos la clave en la configuración de named:

key "ejemplo" {
  algorithm hmac-md5;
  secret "KS4bFVqjPx8fr9FqasEUTAok+xBQTUqK9j7rbsLab6fNVuF7QxuDcLRcVj9jRIQx0Ec5zaqivpCWXb0wLqE6JA==";
};

También deberemos indicar en las zonas que queramos poder actualizar dinámicamente que permitimos su actualización mediante ficha key:

zone "systemadmin.es" {

	file "systemadmin.es";
	type master;
	allow-update { 
		key "ejemplo";
	};
};

Una vez aplicados los cambios en named, podemos utilizar nsupdate para añadir un registro de prueba apuntanto a la IP 1.2.3.4:

# nsupdate -k /etc/named/keys/Kejemplo.+157+40723.private 
> server 127.0.0.1
> zone systemadmin.es
> update add test.systemadmin.es 1000 A 1.2.3.4
> send

Podemos verificar mediante dig que se ha aplicado:

# dig test.systemadmin.es @127.0.0.1 +short
1.2.3.4

En los logs del named podremos ver las siguientres entradas por la actualización:

Apr 22 19:56:18 localhost named[3033]: client 127.0.0.1#28260: signer "ejemplo" approved
Apr 22 19:56:18 localhost named[3033]: client 127.0.0.1#28260: updating zone 'systemadmin.es/IN': adding an RR at 'test.systemadmin.es' A

Dichas actualizaciones se pueden permitir también por IP origen, pero no resulta recomendable por los evidentes riesgos de seguridad que supone

Deja un comentario:

XHTML - Tags permitidos:<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>