tsig – Blog del Guru

Benchè sia comodo editare a mano i file di zona di bind, questa pratica espone a tutta una serie di problematica relative ad eventuali errori di sintassi, specialmente con zone complesse di grandi dimensioni

Se inoltre abbiamo a che fare con zone che vengono aggiornate dinamicamente ad esempio da un dhcp, la modifica del file di zona manda fuori sync la zona con il suo journal con il rischio di perdere record contenuti

dnsutils ci mette a disposizione nsupdate, uno strumento in grado di comunicare con bind con cui possiamo aggiungere e cancellare i resource record. Mantiene ordinato il file di zona, si occupa di gestire il file journal ed aggiorna automaticamente il contatore del record SOA Leggi tutto “Amministrare le zone dns di bind con nsupdate”

Nell articolo “Certificati https gratuiti con Let’s Encrypt” è stato mostrato come generare certificati https per i propri domini web utilizzando certbot e la CA di Let’s encrypt.

Il core di certbot permette di generare certificati per i domini serviti dal server in cui viene eseguito, ma con alcuni plugin è possibile generare certificati per ogni dominio di cui si amministra il dns, il certificato però dovrà poi essere istallato manualmente.

Ci sono vari plugin da utilizzare, a seconda del proprio provider dns, in questo articolo ci interfacciamo con il nostro server bind tramite certbot-dns-rfc2136

Per verificare l’identità di chi gestisce il dominio, il plugin cerca il record TXT nella zona dns con chiave _acme-challenge ed un certo valore fornito dal bot in fase di generazione. Questo record può essere inserito manualmente al momento della richiesta, ma quello che viene mostrato in questo articolo è la modalità di automatizzazione di questo processo.

Genereremo una chiave TSIG che installeremo in BIND e forniremo al plugin di certbot l’autorizzazione di inserire record nella zona dns del nostro dominio Leggi tutto “Certbot dns plugin rfc2136”