바인딩-9.11.2가 안전하지 않은 응답을 받았습니다. 부모는 안전해야 한다고 나타냅니다.

바인딩-9.11.2가 안전하지 않은 응답을 받았습니다. 부모는 안전해야 한다고 나타냅니다.

나는 10~30대의 컴퓨터로 구성된 두 개의 네트워크를 관리하고 bind네임서버를 실행하여 내 클라이언트에 DNS 확인을 제공합니다(Comcast나 Google로 전달하는 대신 -- 사용자의 인터넷 활동을 그런 식으로 광고하고 싶지 않습니다). 내 네임서버는 일부 로컬 항목에 대해 권한을 가지며 다른 모든 항목은 루트에서 완전히 확인합니다. 이는 대부분 올바르게 작동하지만 새로 다시 시작한 후에도 바인드가 오류 로깅을 시작하는 데 오랜 시간이 걸리지 않습니다 got insecure response; parent indicates it should be secure. 나는 새로운 이름이 해결될 때, 내 사본이 또는 무엇이든 bind해결되기 시작할 때 이런 일이 발생한다고 믿습니다..com.org

나는 아직 현재 DNS 프로토콜을 조사하지 않았거나 tcpdump스니핑을 시작하지 않았습니다. 누군가가 "당신의 타임베이스가 꺼져 있습니다"라고 말하거나 이와 유사한 말을 하여 심층적인 DNS 다이빙에서 나를 구해줄 수 있기를 바랍니다. (NTP가 실행 중이고 시스템 시간이 문제가 되지 않을 만큼 충분히 가깝다고 생각합니다.)

이와 같이 반복 이름 서버를 실행하는 소규모 사이트에 영향을 미치는 일반적인 문제가 있습니까? 아니면 불평하는 bind이유를 파악하는 데 도움이 될 수 있는 병렬 실행을 위한 좋은 도구가 있습니까 bind? 일부 이름이 해결되지 않더라도 다른 이름은 해결될 것이라고 믿습니다. 예를 들어 foo.bar.com.로 보고된 문제가 있지만 문제가 해결될 수 validating .com/SOA: got insecure response있습니다 gibble.gobble.com. (제가 bind자체 구축한 OpenWRT 라우터에서 실행하고 있어서 새로운 버전의 도구를 구축하는 것이 다소 불편하지만, 새로운 시스템을 다시 구축하고 재설치해야 한다면 그렇게 할 수는 있습니다.)

답변1

이 메시지는 현재 보고 있는 도메인이 DNSSEC를 사용하도록 설정되어 있지만(즉, 상위 도메인에 하위 도메인을 가리키는 DS 레코드가 있어 하위 레코드에 서명해야 함을 의미함) 응답이 DNSSEC와 함께 제공되지 않았음을 의미합니다. 서명(도메인의 잘못된 구성) 또는 네임서버가 DNSSEC 서명(DNS 서버가 처리할 수 없는 암호화 알고리즘으로 생성된 서명)을 해석하지 못했습니다. 확인에 실패한 도메인의 구체적인 예가 없으면 어떤 도메인인지 알 수 없습니다.

DNSSEC 검증을 꺼서 오류(및 이름 확인) 실패를 확실히 막을 수 있지만 보안 측면에서 이는 좋은 생각이 아닙니다. 집 현관문을 절대 잠그지 않는다면, 자신도 잠겨 있는 것을 결코 발견하지 못할 것입니다 ;-) 오류의 원인이 도메인의 DNSSEC 잘못된 구성이라면 분명히 이에 대해 할 수 있는 일이 많지 않습니다. BIND는 원하더라도 도메인별로 DNSSEC 오류를 선택적으로 무시할 수 있는 방법을 제공한다고 생각하십시오. 문제가 BIND 버전에서 지원되지 않는 암호화 알고리즘인 경우 BIND 업데이트가 유일한 해결 방법일 수 있습니다.

관련 정보