念のために53/TCPでも待ち受けるためにaxfrdnsを立ち上げているが。
結局、セカンダリNS用にrsync専用のアカウントを作って運用するのがよさげ。
djbdns同士のdataミラー_ を参考に。
セカンダリ側の~/.ssh/authorized_keyの公開鍵をrsyncの受信だけができるように制限しておく。
rsync でディレクトリの同期を取る_ を参考に

command="rsync --server -logDtprz . /path/to/jail_tinydns/root/data.cdb",no-pty,no-port-forwarding ssh-dss

という感じで追加する。
これでMakefileに

rsync: data.cdb
	rsync -az -e ssh data.cdb セカンダリNS:/path/to/jail_tinydns/root/data.
data.cdb: data
	/usr/local/bin/tinydns-data

と追加する。
プライマリDNSのtinydnsでメンテしてmakeすれば、即座にrsyncしてセカンダリDNSのデータも書き変わる。
chownでdata.cdbを書き込めるようにする必要あり。

Installing djbdns (DNScache) for Name Service Part Two_: