Как я настраиваю свой сервер имен кэширования для проверки DNSSEC?

Question 1

Так как корень дерева DNS был подписан, как я изменяю свое кэширование сервер DNS, чтобы начать проверять подписи DNSSEC?

Question 2

Установка и настроенный Ваш сервер имен (bind9 пакет), обычно, и затем просто добавляют следующую строку файла конфигурации к /etc/bind/named.conf.options:

managed-keys {
  "." initial-key 257 3 8
    "AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF
     FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX
     bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD
     X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz
     W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS
     Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq
     QxA+Uk1ihz0=";
};

Затем перезапустите сервис (sudo service bind9 restart).

Для проверки это работает, попытайтесь разрешить "www.dnssec-failed.org", это должно перестать работать:

$ host www.dnssec-failed.org
Host www.dnssec-failed.org not found: 3(NXDOMAIN)

Если это дает IP-адрес, то проверка DNSSEC не работает.

Question 3

Question 4

У Вас есть выбор по крайней мере двух возможных серверов имен кэширования: bind9 и развязанный.

Инструкции относительно конфигурирования и тестирования каждого из них с текущим корневым ключом (сначала созданный в июле 2010) находятся в Wiki Debian:

DNSSEC - Debian Wiki

Необходимо стараться проверить фактический ключ, что Вы добавляете к конфигурации, и не, например, доверяете тому, что Вы могли бы найти на веб-сайте, который не использует SSL (https), или это не имеет безопасного управления его содержанием. Например, регистрация фактического ключа здесь, вероятно, не мудра, и это может измениться со временем во всяком случае. Совет на несвязанном сайте для хороших взглядов "несвязанных привязки", и когда та команда надежно доступна как часть релиза Ubuntu, это похоже на это, будет хорошим вариантом. Похоже, что это было включено начиная с развязанной версии 1.4.9-1 и в настоящее время является частью выпуска Oneric. Посмотрите больше в ошибке Debian № 594911.

Для bind9 следуйте за Ошибкой № 782614 в bind9 (Ubuntu): “сделайте конфигурирование проверкой DNSSEC легче” для достижений по созданию этого процесса легче. Это, казалось бы, имело бы смысл на самом деле включать текущий ключ как часть упаковки Ubuntu bind9 или добавлять своего рода механизм обновления как несвязанная привязка, для удобства и защиты пользователей.

Kees Cook · Accepted Answer · 23 November 2019 в 07:47

Установка и настроенный Ваш сервер имен (bind9 пакет), обычно, и затем просто добавляют следующую строку файла конфигурации к /etc/bind/named.conf.options:

managed-keys {
  "." initial-key 257 3 8
    "AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF
     FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX
     bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD
     X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz
     W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS
     Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq
     QxA+Uk1ihz0=";
};

Затем перезапустите сервис (sudo service bind9 restart).

Для проверки это работает, попытайтесь разрешить "www.dnssec-failed.org", это должно перестать работать:

$ host www.dnssec-failed.org
Host www.dnssec-failed.org not found: 3(NXDOMAIN)

Если это дает IP-адрес, то проверка DNSSEC не работает.

nealmcb · Answer 2 · 23 November 2019 в 07:47

У Вас есть выбор по крайней мере двух возможных серверов имен кэширования: bind9 и развязанный.

Инструкции относительно конфигурирования и тестирования каждого из них с текущим корневым ключом (сначала созданный в июле 2010) находятся в Wiki Debian:

DNSSEC - Debian Wiki

Необходимо стараться проверить фактический ключ, что Вы добавляете к конфигурации, и не, например, доверяете тому, что Вы могли бы найти на веб-сайте, который не использует SSL (https), или это не имеет безопасного управления его содержанием. Например, регистрация фактического ключа здесь, вероятно, не мудра, и это может измениться со временем во всяком случае. Совет на несвязанном сайте для хороших взглядов "несвязанных привязки", и когда та команда надежно доступна как часть релиза Ubuntu, это похоже на это, будет хорошим вариантом. Похоже, что это было включено начиная с развязанной версии 1.4.9-1 и в настоящее время является частью выпуска Oneric. Посмотрите больше в ошибке Debian № 594911.

Для bind9 следуйте за Ошибкой № 782614 в bind9 (Ubuntu): “сделайте конфигурирование проверкой DNSSEC легче” для достижений по созданию этого процесса легче. Это, казалось бы, имело бы смысл на самом деле включать текущий ключ как часть упаковки Ubuntu bind9 или добавлять своего рода механизм обновления как несвязанная привязка, для удобства и защиты пользователей.

Как я настраиваю свой сервер имен кэширования для проверки DNSSEC?

2 ответа

Другие вопросы по тегам:

Похожие вопросы: