Rulez Unbound 1.9.0 ca server DNS recursiv de cache pentru o filială mică. Se recurge prin TLS numai către cloudflare și are o zonă locală transparentă de tip (example.com) care suprascrie unele dintre înregistrările publice de la serverele publice autorizate.
Implementez înregistrări SSHFP în organizația mea și, deoarece Unbound nu setează marcajul AD (DNSSEC), clientul SSH spune „Matching host key fingerprint found in DNS”, dar încă întreabă dacă am încredere în amprenta serverului sau nu. Testat cu ssh -o „VerifyHostKeyDNS yes” [email protected]
Dovada problemei la sfârșitul acestei postări.
The https://dnssec.vs.uni-due.de/ testul returnează OK de la fiecare client LAN.
Clienții de testare folosesc următoarele /etc/resolv.conf (NetworkManager 1.10.6, fără rezolvare de sistem, fără dnsmasq).
caută example.com
server de nume 192.168.1.100
Acestea sunt părțile relevante din /etc/unbound/unbound.conf:
interfață: 192.168.1.100
interfață: 192.168.1.100@853
tls-port: 853
tls-service-key: /etc/unbound/mycert.pem
tls-service-pem: /etc/unbound/mykey.key
Dimensiune max-udp: 65536
do-udp: da
do-tcp: da
tcp-amonte: nu
module-config: „iterator validator”
ascunde-identitatea: da
versiunea ascunde: da
identitate: „Neacceptat”
versiune: "0"
qname-minimization: da
harden-short-bufsize: da
harden-mari-interogări: da
întărire-clei: da
harden-dnssec-stripped: da
harden-below-nxdomain: da
întărire-referire-cale: da
use-caps-for-id: da
prefatch-key: da
rrset-roundrobin: da
răspunsuri minime: da
val-clean-additional: da
mod-val-permisiv: nu
#REDIRECŢIONA
zona înainte:
forward-tls-upstream: da
Nume: "."
adresa directă: 1.1.1.1@853#cloudflare-dns.com
adresa directă: 1.0.0.1@853#cloudflare-dns.com
#ZONA LOCALĂ
local-zone: example.com typetransparent
date-locale: „gw.example.com A 192.168.1.1”
local-data-ptr: „192.168.1.1 gw.example.com”
Dovada problemei folosind săpa
# INTEROGAREA DIRECTĂ A CLOUDFLARE Afișează steagul reclamei :
user@testclient:~$ dig -t SSHFP test.example.com +dnssec @1.1.1.1
; <<>> DiG 9.11.3-1ubuntu1.15-Ubuntu <<>> -t SSHFP test.example.com +dnssec @1.1.1.1
;; opțiuni globale: +cmd
;; Am răspuns:
;; ->>HEADER<<- opcode: QUERY, stare: NOERROR, id: 54559
;; steaguri: qr rd ra ad; ÎNTREBARE: 1, RĂSPUNS: 5, AUTORITATE: 0, SUPLIMENTARE: 1
;; PSEUDOSECȚIE OPT:
; EDNS: versiunea: 0, steaguri: do; udp: 1232
;; SECȚIUNEA DE ÎNTREBĂRI:
;test.example.com. ÎN SSHFP
;; SECȚIUNEA RĂSPUNSURI:
test.example.com. 300 ÎN SSHFP 1 2 xxx aaa
test.example.com. 300 ÎN SSHFP 2 2 xxx aaa
test.example.com. 300 ÎN SSHFP 3 2 xxx aaa
test.example.com. 300 ÎN SSHFP 4 2 xxx aaa
test.example.com. 300 IN RRSIG SSHFP 13 3 300 20211017181912 20211015161912 34505 example.com. zzz==
;; Timp de interogare: 19 ms
;; SERVER: 1.1.1.1#53(1.1.1.1)
;; CÂND: Sâmbătă, 16 octombrie, 19:32:33 CEST 2021
;; MSG SIZE rcvd: 334
# DRAG DE Anunț LIPSĂ CÂND SE INTEROGĂ NELEGAT LOCAL:
user@testclient:~$ dig -t SSHFP test.example.com +dnssec @192.168.1.100
; <<>> DiG 9.11.3-1ubuntu1.15-Ubuntu <<>> -t SSHFP test.example.com +dnssec @192.168.1.100
;; opțiuni globale: +cmd
;; Am răspuns:
;; ->>HEADER<<- opcode: QUERY, stare: NOERROR, id: 54559
;; steaguri: qr rd ra; ÎNTREBARE: 1, RĂSPUNS: 5, AUTORITATE: 0, SUPLIMENTARE: 1
;; PSEUDOSECȚIE OPT:
; EDNS: versiunea: 0, steaguri: do; udp: 1232
;; SECȚIUNEA DE ÎNTREBĂRI:
;test.example.com. ÎN SSHFP
;; SECȚIUNEA RĂSPUNSURI:
test.example.com. 2670 ÎN SSHFP 1 2 xxx aaa
test.example.com. 2670 ÎN SSHFP 2 2 xxx aaa
test.example.com. 2670 ÎN SSHFP 3 2 xxx aaa
test.example.com. 2670 ÎN SSHFP 4 2 xxx aaa
test.example.com. 2670 IN RRSIG SSHFP 13 3 300 20211017181912 20211015161912 34505 exemplu.com. zzz==
;; Timp de interogare: 2 ms
;; SERVER: 192.168.1.100#53(192.168.1.100)
;; CÂND: Sâmbătă, 16 octombrie, 19:32:33 CEST 2021
;; MSG SIZE rcvd: 334
