Como posso proteger uma zona com o serviço DLV do dlv.isc.org?

tag-icon tag-icon domain-name-system bind dnssec
Como posso proteger uma zona com o serviço DLV do dlv.isc.org?

Estou configurando a validação de aparência de domínio. Acho que acertei quase tudo. Segui as instruções aqui:https://dlv.isc.org/about/using. Registrei meu domínio e carreguei a chave de assinatura, assinei minha zona com -l dlv.isc.orga opção, adicionei dlv.isc.org como um servidor de nomes estrangeiro para meu domínio nos arquivos de zona. nomeado falha silenciosamente. Eu até mudei /dev/nullpara /var/log/named.logpara extrair algumas informações do nome. Verifiquei se as alterações foram feitas, mas não funcionou. Não sei o que verificar ou tentar.

Estou fazendo 2 perguntas:

  1. Estratégias para coletar informações do nomeado quando ele falha silenciosamente como está acontecendo
  2. A configuração está correta. Minha compreensão limitada de DNS e DNSSEC me diz que isso deveria funcionar

arquivo de encaminhamento:

$TTL 3600;

@ IN SOA ns1.sub.db.archives.net. dlv.isc.org. (
2014112100  ; serial
4h      ; refresh
1h      ; retry
7d      ; expiration
1h      ; minimum
)
$INCLUDE Ksub.db.archives.net.+008+07374.key
$INCLUDE Ksub.db.archives.net.+008+24586.key

        IN  NS  ns1.sub.db.archives.net.
        IN  NS  ns1.db.archives.net.
        IN  NS  dlv.isc.org.

dlv.isc.org.    IN  A   149.20.1.5
ns1.db.archives.net.    IN  A   10.103.35.66
ns1     IN  A   10.103.35.64
luke        IN  A   10.103.35.64
bo      IN  A   10.103.35.65
daisy       IN  A   10.103.35.66
sheriff     IN  A   10.103.35.67
boss        IN  A   10.103.35.68
dlv.sub.db.archives.net. 0 IN TXT "DLV:1:blablabla"

dlv.isc.org. IN DNSKEY 257 3 5 BEAAAAPHMu ...TDN0YUuWrBNh

arquivo reverso:

$TTL 3600

@ IN SOA ns1.sub.db.archives.net. dlv.isc.org. (
2014112100  ; serial #
4h              ; refresh
1h              ; retry
7d              ; expiration
1h              ; minimum
)

                IN      NS  ns1.sub.db.archives.net.
                IN      NS  ns1.db.archives.net.
        IN  NS  dlv.isc.org.

5.1.20.149  IN  PTR dlv.isc.org.
66.35.103.10    IN  PTR ns1.db.archives.net.
64  IN  PTR ns1.sub.db.archives.net.
64  IN  PTR luke.sub.db.archives.net.
65  IN  PTR bo.sub.db.archives.net.
66  IN  PTR daisy.sub.db.archives.net.
67  IN  PTR sheriff.sub.db.archives.net.
68  IN  PTR boss.sub.db.archives.net.

Comando dnssec-signzone:

dnssec-signzone -l dlv.isc.org -o sub.db.archives.net -k Ksub.db.archives.net.+008+24586.key sub.db.archives.net.fwd Ksub.db.archives.net.+008+07374.key

nomeado:

[root@test master]# service named start
Starting named:                                            [FAILED]

Responder1

  1. Estratégias para ver por que namednão inicia:
    • Verifique named-checkconf -zja saída. ( named-checkconfe named-checkzoneprovavelmente deve fazer parte do seu fluxo de trabalho regular, não apenas para solução de problemas)
    • Verifique os registros. ( namedlogs no syslog por padrão, consulte named.confqualquer configuração de log que você tenha e que possa substituir isso)
    • Se nenhuma das opções acima ajudar (improvável), há também a opção de verificar quais parâmetros você normalmente tem em sua namedlinha de comando e iniciá-lo manualmente com -gadição ao seu conjunto normal de parâmetros (isso força nameda permanecer em primeiro plano e registrar-se em stderr ).


  1. Existem vários problemas óbvios com os dados de zona incluídos na pergunta que não são de forma alguma específicos de DNSSEC ou DLV. Para ser franco, recomendo que você leia os fundamentos do DNS como primeiro passo.
    Alguns problemas que descobri foram os seguintes, consulte named-check{conf,zone}}também os logs e/ou saída.

    • Os SOAregistros têm valores RNAME muito improváveis ​​( [email protected])
    • dlv.isc.orgestá listado como um servidor de nomes, mas duvido muito que hospede suas zonas.
    • dlv.isc.org. IN A ...não parece pertencer a esta zona.
    • ns1.db.archives.net. IN A ...não parece pertencer a esta zona.
    • dlv.isc.org. IN DNSKEY ...não parece pertencer a esta zona.
    • 5.1.20.149 IN PTR dlv.isc.org.- Ignorando que está escrito incorretamente, este é mais um registro que não pertence.
    • 66.35.103.10 IN PTR ns1.db.archives.net.provavelmente pertence, mas está escrito incorretamente.


(Minha impressão da pergunta é que as duas zonas são sub.db.archives.nete 35.103.10.in-addr.arpa, nas quais baseei as declarações fora da zona. Ver a configuração real, além dos dados da zona, confirmaria isso.)

Responder2

Os erros reais file not foundparecem bastante autoexplicativos (esses arquivos não existem, suponho?).

No entanto, DSos registros residem na zona pai; alternativamente, DLVos registros residem no servidor DLV.

Isso significa que sua etapa 4 não existe (conforme guia que você vinculou).

Você realmente não consegue colocar os registros DS na zona pai? O DLV foi principalmente uma medida provisória desde o início e não deve ser a primeira escolha.

Veja tambémAssinatura em linha (e manutenção automática de DNSsec), geralmente é uma opção melhor para assinatura de zona e gerenciamento de chaves em comparação com a chamada manual de dnssec-signzone.

informação relacionada