înregistrare Logare
Puncte:0
Tenders McChiken avatar Server

Cum pot împiedica Bind să retragă cheile DNSSEC care nu expiră atunci când folosesc Politica DNSSEC?

drapel eg
Tenders McChiken

Pentru a controla când expiră semnăturile, am trecut la utilizarea dnssec-politica pentru a genera înregistrări DNSSEC pentru zonele mele. Acest lucru a rezolvat problema ca înregistrările RRSIG să expire atunci când ar trebui, dar a introdus o nouă problemă proprie.

bind9 încearcă acum să-mi retragă cheile KSK și ZKS care nu expiră. Cum configurez bind să nu încerce nicio rotație a tastelor când cheile nu expiră niciodată?

Aceasta este partea relevantă a jurnalelor mele:

numit[5078]: keymgr: retrageți DNSKEY example.com/ED25519/00000 (KSK)
named[5078]: keymgr: DNSKEY example.com/ED25519/50916 (ZSK) creat pentru politica example-com-policy
named[5078]: zone example.com/IN (semnat): zone_rekey:dns_dnssec_keymgr failed: a apărut o eroare la scrierea cheii pe disc

Mai multe informații despre configurația mea:

  1. Cheile KSK și ZSK au fost generate prin rularea:

    dnssec-keygen -a ED25519 -f KSK example.com
dnssec-keygen -a ED25519 example.com

  2. Declarație de politică în numit.conf.local:

    dnssec-policy exemplu-com-policy {
  dnskey-ttl 300;
  chei {
      Algoritm nelimitat cu durata de viață a directorului de chei ksk ED25519;
      algoritm nelimitat cu durata de viață a directorului de chei zsk ED25519;
  };
  max-zona-ttl 300;
  părinte-ds-ttl 300;
  parent-propagare-întârziere 2h;
  publicare-siguranta 7d;
  pensionare-siguranta 7d;
  semnături-reîmprospătare 1439h;
  semnături-validitate 90d;
  semnături-validitate-dnskey 90d;
  zona-propagare-întârziere 2h;
};

  3. Declarație de zonă în numit.conf.local:

    zona „example.com” {
     tip master;
     fișierul „.../db.example.com”;
     permite-transfer { ... };
     de asemenea-notifică { ... };

     directorul-cheie „...”;
     metoda serial-update-unixtime;
     dnssec-policy example-com-policy;
};

  4. si continutul de .../db.example.com:

    300 USD TTL
@ ÎN SOA ns1.example.com. admin.example.com. (
         1634019890; Serial
         10m; Reîmprospăta
         20m; Reîncercați
         9w; Expira
         1h); Cache negativ TTL
;

exemplu.com. ÎN NS ns1.example.com.
exemplu.com. ÎN NS ns2.example.com.

; ...

  5. Informatii despre sistem:

    • bind9 9.16.15-debian
    • Debian 11 (cel mai recent stabil)
    • Configurație implicită a armamentului
    • named are acces numai pentru citire la directorul de chei

Actualizare 2021-10-22

Informațiile de sincronizare pentru ambele taste (conform dnssec-settime -p all) este:

Creat: Duminica 10 Oct 07:51:48 2021
Publicare: Sun Oct 10 07:51:48 2021
Activare: duminica 10 octombrie 07:51:48 2021
Revocare: UNSET
Inactiv: UNSET
Șterge: UNSET
Publicare SYNC: UNSET
SYNC Delete: UNSET
Publicare DS: UNSET
DS Delete: UNSET
214
0 + 0
drapel pl
Adrian Zaugg
Informațiile de sincronizare sunt salvate și în chei, utilizați dnssec-settime pentru a modifica: vezi la https://dnssec-guide.readthedocs.io/en/latest/signing.html#setting-key-timing-information. Îți rezolvă asta problema?
0
Răspunde
Tenders McChiken avatar
drapel eg
Tenders McChiken
Deoarece cheile nu expiră niciodată, nu sunt sigur că informațiile de sincronizare încorporate în cheile mele sunt ceea ce cauzează această problemă. Mi-am editat postarea pentru a include informațiile de sincronizare pentru cele două chei.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.