înregistrare Logare
Puncte:0
avatar Server

Cum îmi repar DNSSEC? Nu am pus niciodată DNSSEC să funcționeze și probabil că am agravat problemele

drapel cn
Anthon

Încercarea mea de a DNSSEC nu a avut succes. Pentru a înțelege DNSSEC, am citit multe articole online, pagini de manual pentru rndc, dnssec-*, am văzut dnsviz.net și dnssec-analyzer.verisignlabs.com/. Majoritatea informațiilor explică DNSSEC în detaliu, dar trebuie să știu CE să fac și cum să REPARA problemele.

De exemplu, dnsviz.net/allenintech.com indică „nu sunt furnizate înregistrări DNSKEY valide de către serverul de nume autorizat pentru a se potrivi cu înregistrarea DS publicată de serverul de nume TLD”.

CUM este furnizată de NS o înregistrare DNSKEY pentru a se potrivi cu înregistrarea DS publicată de TLD? Există vreo configurație care îmi lipsește? Există comenzi rndc sau dnssec-* pentru a realiza acest lucru?

Sistem Ubuntu 20.04 BIND 9.16.1-Ubuntu (Versiune stabilă) Apache/2.4.48 (Ubuntu)

named.conf Zone Files Pentru a rezolva problemele au fost reținute toate, cu excepția câtorva zone. M-am gândit că reducerea zonelor ar ajuta mai bine la diagnosticarea și rezolvarea problemelor.

Înștiințare Două vederi: interior și exterior Server IP local: 10.0.0.1 (vedere interioară) Server IP static: 99.93.25.17 (vedere exterioară) NS secundar: 51.38.99.90

Opțiuni{
        directorul „/etc/bind/zoneFiles/”;

        portul de ascultare 53 { 127.0.0.1; 10.0.0.1; 99.93.25.17; };
        permit-transfer { niciunul; };
        dnssec-policy implicit;
        bindkeys-fișier „/etc/bind/zoneFiles/bind.keys”;
};

acl "mylo" {
        127.0.0.1;
};
acl "mylan" {
        10.0.0.0/24;
};
acl "mywireless" {
        192.168.1.0/24;
};
vedere în interior {
        potriviți-clienți {"mylan"; „mylo”; "mywireless";};
        recursivitate da;

        zona "." {
                tip indiciu;
                fișierul „/etc/bind/zoneFiles/root.hints”;
        };
        zona „allenintech.com” {                                                         
                tip master;  
                fișierul „/etc/bind/zoneFiles/insideView/allenintech.com.inside/db.allenintech.com.inside”;
                directorul-cheie „/etc/bind/zoneFiles/insideView/allenintech.com.inside”;   
                permite-transfer {51.38.99.90;};                                           
        };                                                                               
};                                                                                       
vedere afara {      

        recursiunea nu;
        potriviți-clienți {oricare;};
        permite-interogare {orice;};
        #--------------------------------------------- -
        zona "." {
                tip indiciu;
                fișierul „/etc/bind/zoneFiles/root.hints”;
        };
   
        zona „allenintech.com” {
                tip master;
                fișierul „/etc/bind/zoneFiles/outsideView/allenintech.com.outside/db.allenintech.com.outside”;
                directorul-cheie „/etc/bind/zoneFiles/outsideView/allenintech.com.outside”;
                permite-transfer {51.38.99.90;};
        };
};

Vedere din interior

$ORIGIN **allenintech.com.**
86400 USD TTL
@ IN SOA ns2.allenintech.com. besus.allenintech.com. (
                        2022030750; Serial
                        28800; Reîmprospăta
                        120; Reîncercați
                        1209600; Expira
                        86400; Minimum
)               
        
; Servere de nume
@ IN NS ns2.allenintech.com.
ns2 ÎN A 10.0.0.1
                
; Servicii Web  
www ÎN A 10.0.0.1
@ ÎN A 10.0.0.1

Vedere exterioară

$ORIGIN **allenintech.com.**
86400 USD TTL
@ IN SOA ns1.allenintech.com. besus.allenintech.com. (
                        2022030725; Serial
                        28800; Reîmprospăta
                        120; Reîncercați
                        1209600; Expira
                        86400; Minimum
)               
        
; Servere de nume 
@ IN NS ns1.allenintech.com. ; primar
ns1 IN A 99.93.25.17; primar
                
                        NS fns2.42.pl. ; secundar
        
        
; Servicii Web  
www IN A 99.93.25.17
@ ÎN A 99.93.25.17

**Imagini curente

DNSVIZ

DNSSECANALYZER

Imagini vechi dnsviz dnssec-analyzer.verisignlab

Imagini Vechi https://dnssec-analyzer.verisignlabs.com/allenintech.com

dnsviz.net/allenintech.com

105
0 + 0
djdomi avatar
drapel za
djdomi
Insideview nu este un panou de administrare? vă rugăm să distribuiți zonefile
0
Răspunde
drapel cn
Anthon
insideview nu este un „panou de administrare”. Da, voi posta zonefile.Cu toate acestea, înainte de a posta zonefile, trebuie să editez postarea pentru a actualiza cele două imagini: https://dnssec-analyzer.versignlabs.com/allenintech.com și https://disviz.net/allenintech.com
0
Răspunde
Puncte:1
avatar Server
drapel jp
Esa Jokinen

Există o nepotrivire între cheile DNSSEC utilizate pentru a semna zona (13/61524) si DS înregistrări semnate de zona părinte (com. are 13/51277). Vă rugăm să vă actualizați DS înregistrări la registratorul dvs.

The dnssec-signzone comanda ar fi trebuit să creeze un fișier numit dsset-allenintech.com conţinând corect DS înregistrări:

allintech.com. ÎN DS 61524 13 1 ****************************************
allintech.com. ÎN DS 61524 13 2 ********************************************* ********** ********
0 + 0
drapel cn
Anthon
(A) Sunt aceștia pașii corecti pentru a implementa sugestia dvs. (adică a lui Esa Jokinem) de „Actualizați-vă înregistrarea DS la registrator”? Folosesc ARM pentru 9.16.1 la https://downloads.isc.org/isc/bind9/9.16.1/doc/arm/Bv9ARM.ch04.html#generating_dnssec_keys pentru a implementa sugestia. Mergeți la (B)
0
Răspunde
drapel cn
Anthon
(B) 1) Cheie de semnare a zonei (ZSK) - cd în directorul de chei - rm *.key *.privat *.jnl *.state - fișierul de configurare cp fresh zone în directorul cheie - dnssec-keygen -a ECDSAP256SHA256 -n ZONE allenintech.com - ieșire Similar cu următoarele: - Kallenintech.com.+013+12345.key și Kallenintech.com.+013+12345.private. - zona allenintech.com este actualizată cu înregistrări DNSSEC. Mergi la (C)
0
Răspunde
drapel cn
Anthon
(C) 2) Înregistrați actualizați înregistrarea DS 3) Cheie de semnare a cheii (KSK) - După ce înregistrarea DS a fost actualizată de registrator - Notă: semnarea cheilor este automată cu opțiunea: âdnssec-policy defaultâ - reîncărcare rndc - ieșire - Vor fi produse două fișiere de ieșire similare cu următoarele: Kallenintech.com +013+12345.key și Kallenintech.com.+013+12345.private, poate la fel de bine *.state, precum și allenintech.com.signed, keyset și dsset. Mulțumiri!
0
Răspunde
drapel cn
Anthon
Care este cea mai bună modalitate de a activa DNSSEC cu BIND cu semnare automată? Am nevoie de ajutor, te rog. Folosesc ARM pentru 9.16.1 la https://downloads.isc.org/isc/bind9/9.16.1/doc/arm/Bv9ARM.ch04.html#generating_dnssec_keys pentru a implementa sugestia: âActualizați-vă înregistrarea DS la registratorâ așa cum a sugerat @Esa Jokinen
0
Răspunde
drapel cn
Anthon
1) Care este/sunt comenzile pentru a genera înregistrarea DS pentru a fi actualizată la registrator? Specificitatea ar fi apreciată. @Esa Jokinen
0
Răspunde
drapel cn
Anthon
2) În ceea ce privește înregistrarea DS, unde se află datele DS? Sunt datele DS situate într-un fișier și/sau există comenzi pentru a vedea/vizualiza datele DS care urmează să fie trimise registratorului? @Esa Jokinen
0
Răspunde
drapel cn
Anthon
3) În named.com, dnssec-policy este setată la âdefaultâ. Deci, conform ARM 9.16.1, semnarea automată este activată. Care sunt pașii și comenzile pentru implementarea semnării automate? Este necesară comanda dnssec-signzone când dnssec-policy este implicită? Va fi produs dsset-allenintech.com fără a emite comanda semn-zone? @Esa Jokinen
0
Răspunde
drapel cn
Håkan Lindqvist
@Anthon Comanda `dnssec-signzone` este o alternativă veche pentru semnarea manuală a unui fișier de zonă, nu are niciun scop dacă `dnssec-policy` (sau `auto-dnssec keep`) este în uz. Acesta din urmă păstrează automat semnăturile necesare.
0
Răspunde
drapel cn
Anthon
Mulțumesc @Hakan Lidqvist! Am descoperit ce ai spus. Am postat soluția cu înțelegerea politicii dnssec (și a menținerii auto-dnssec)
1
Răspunde
Puncte:0
avatar Server
drapel cn
Anthon

Iata solutia: Bind9 este configurat cu „dns-policy default”, așa cum este descris în secțiunea de opțiuni de mai sus. Acest lucru este important și foarte cool. Majoritatea ajutorului și a documentației nu abordează „dns-policy default”, ci abordează „dns-policy default” în termeni de metode anterioare, mai vechi și chiar depreciate.

1.Comentați toate configurațiile zonelor în named.conf, cu excepția uneia, de exemplu example.com.

zona „example.com” { tip master; fișierul „/.../example.com.outsideView/example.com.outside”; directorul-cheie „/.../zoneFiles/outsideView/example.com.outside”; };

A) fişier este locația fișierului zone example.com.Separ vederile din interior și din exterior și clarific ce vedere reprezintă fișierul de zonă, deci example.com.outside.

b) directorul-chei este locația în care vor fi scrise cheile DNSSEC și unde un copie de example.com este plasat. Este important să păstrați separat fișierul de zonă, example.com, în configurația bind9, name.conf adică. fișier și fișierul de zonă, example.com, copiat în directorul-cheie, așa cum este dat ca opțiunea name.conf. Veți modifica fișierul de zonă, example.com, în fișier după cum este necesar. Este copia de lucru. Copia fișierului de zonă, example.com, din directorul-cheie va fi modificată sau „semnată” de DNSSEC „dnssec-policy default”.

2.Odată ce opțiunile bind9 pentru fișierul de configurare a zonei sunt setate cu fișier și cheie-directoy, atunci, a) Reporniți bind cu „systemctl restart bind9” sau „rndc reload”. „rndc reload” va reîncărca fișierele și zonele de configurare. Când interacțiunea DNSSEC cu configurațiile de legătură și zonă nu a fost înțeleasă, am folosit „rndc reload”. Pe măsură ce lucrurile au devenit clare, „systemctl restart bind9” a fost suficient. b) Odată ce bind9 a fost repornit cu succes, cd în directorul cheie. Va fi fișierul de zonă example.com.outside, .jnl și K.(cheie|stat|privat) fișier ca acesta:

exemplu.com.afară

exemplu.com.in afara.jnl

Kexample.com.+013+12345.cheie Kexample.com.+013+12345.state Kexample.com.+013+12345.privat (013 - numărul algoritmului, 12345 - cheie)

3)Extrageți înregistrarea DS din cheie folosind următoarea comandă și salvați rezultatul

a) dnssec-dsfromkey Kexample.com.outside+013+12345.key > DSkeyexample.com.outside.

b) DSkeyexample.com.outside va conține înregistrarea DS pentru zona example.com în fișierul example.com.outside, de exemplu, cat DSkeyexample.com.outside produce:

exemplu.com. ÎN DS 12345 13 2 1234adb69784efc7528746dab15432abfd78764cd543cccd5432123abcdef123

c) Trimiteți înregistrarea DS către ISP sau introduceți această înregistrare DS în interfața DNSSEC a ISP-ului.

4)Semnând zona, example.com (nume fișier example.com.outside). Rețineți, zona example.com este situată în două locuri: fișier și copiat în directorul-cheie. example.com situat în „fișier” de configurare a legăturii este pentru modificări și modificări. Fișierul de zonă example.com copiat pentru a lega configurația „key-directory” este semnat de DNSSEC.

a) Inițial, ambele fișiere de zonă vor avea aceeași dimensiune mică, adică identice, desigur, de exemplu 8KB. Când are loc semnarea, fișierul de zonă din directorul cheie se va dubla de patru ori, de exemplu, de la 8KB la 24KB. De asemenea, folosind un editor, deschideți fișierul de zonă situat în directorul cheie. Observați datele de semnare. Semnarea zonei este atunci când DNSSEC rescrie fișierul zonei în directorul cheie. „dnssec-policy default” semnează și menține zona.

b) Semnarea zonei nu are întotdeauna loc imediat. Utilizați „systemctl status bind9” pentru a observa următoarea actualizare a cheii pentru a obține o indicație când zona ar putea fi semnată.

5)Efectuarea de modificări/corecții la fișierul de zonă a) Nu modificați sau modificați fișierul de zonă semnat sau nesemnat din directorul cheie. Schimbați și modificați fișierul de zonă în fișier și salvați-l și amintiți-vă să creșteți numărul de serie. Apoi copiați sau salvați ca modificările în directorul de chei. Da, fișierul de zonă semnat sau nesemnat va fi suprascris. b) restart bind9: systemctl restart bind9.

6)Forțarea zonei să semneze. Când bind9 rulează și nu există erori, dar zona nu va semna.

a) ștergeți/ștergeți fișierul *.jnl și incrementați seria fișierului de zonă aflat în fișier. Apoi copiați/salvați ca în directorul de chei. Apoi systemctl reporniți bind9.

b) Utilizarea comenzii rndc pentru a forța semnarea. Vezi man rndc

rndc flush - Șterge memoria cache a serverului.

rndc flushname name [vizualizare] - Șterge numele dat din memoria cache DNS a vizualizării și, dacă este cazul, din baza de date cu adrese de server de nume a vizualizării, cache-ul serverului defect și cache-ul SERVFAIL.

rndc flushtree name [vizualizare] - Șterge numele dat și toate subdomeniile sale din memoria cache DNS a vizualizării, baza de date cu adrese, cache-ul serverului defect și cache-ul SERVFAIL.

chei gestionate (stare | reîmprospătare) [clasa [vizualizare]]

c) Comenzile de mai sus par să funcționeze mai bine împreună cu rndc freeze și rndc thaw. Mai întâi utilizați rndc freeze, lansați comenzile de mai sus, apoi rndc thaw. După dezghețarea rndc, eliberez în mod redundant systemctl restart bind9. Pentru că pare să funcționeze mai bine.

7)Verificați DNSSEC folosind https://dnsviz.net/ și https://dnssec-analyzer.verisignlabs.com/

Când prima zonă este DNSSEC, anulați comentariile altei zone și parcurgeți pașii. Scrierea este mult mai lungă și mai grea decât a parcurge pașii pentru ca DNSSEC să funcționeze.

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.