bind-9.11.2 получил небезопасный ответ; родитель указывает, что он должен быть безопасным

bind-9.11.2 получил небезопасный ответ; родитель указывает, что он должен быть безопасным

Я администрирую пару сетей с 10-30 машинами и запускаю сервер bindимен для предоставления разрешения DNS моим клиентам (вместо переадресации на Comcast или Google — мне не хочется афишировать интернет-активность моих пользователей таким образом). Мой сервер имен является авторитетным для некоторых локальных вещей, и он выполняет полное разрешение from-root для всего остального. В основном это работает правильно, но даже после нового перезапуска bind не занимает много времени, чтобы начать регистрировать got insecure response; parent indicates it should be secureошибки. Я считаю, что это происходит, когда разрешается совершенно новое имя, когда моя копия bindначинает разрешаться из .comили .orgили что-то еще.

Я пока не разбирался в текущем протоколе DNS и не начинал tcpdumpего анализировать; надеюсь, кто-нибудь сможет сказать: «У вас отключена временная база» или что-то в этом роде, что избавит меня от необходимости глубокого погружения в DNS. (У меня запущен NTP, и я считаю, что системное время достаточно близко, так что проблема не в этом.)

Есть ли распространенная проблема, которая влияет на небольшие сайты, работающие с рекурсивным сервером имен, как этот? Или есть хороший инструмент для параллельной работы, bindкоторый может помочь мне выяснить, почему bindжалуется? Обратите внимание, что даже когда некоторые имена не разрешаются, я считаю, что другие разрешаются. Например, у меня может быть проблема с foo.bar.com.тем, что сообщается как validating .com/SOA: got insecure response, но gibble.gobble.comразрешается нормально. (Мой bindработает на самодельном маршрутизаторе OpenWRT, поэтому собирать новые версии инструментов несколько неудобно, но если мне придется пересобирать и переустанавливать новую систему, я могу это сделать.)

решение1

Сообщение означает, что домен, который вы просматриваете, поддерживает DNSSEC (т. е. родительский домен имеет запись DS, указывающую на дочерний домен, что означает, что записи в дочернем домене должны быть подписаны), но либо ответ не пришел с подписью DNSSEC (неправильная конфигурация домена), либо ваш сервер имен не смог интерпретировать подпись DNSSEC (возможно, подпись была сгенерирована с помощью криптографического алгоритма, который ваш DNS-сервер не может обработать). Без конкретного примера домена, который не удалось разрешить, мы не можем сказать, какой именно.

Вы можете отключить проверку DNSSEC, что, безусловно, остановит ошибки (и сбои разрешения имен), но с точки зрения безопасности это не очень хорошая идея. Если вы никогда не запираете входную дверь своего дома, вы никогда не окажетесь запертыми ;-) Если причиной ошибок является неправильная конфигурация DNSSEC в домене, очевидно, что вы мало что можете с этим поделать (я не думаю, что BIND предоставляет способ выборочного игнорирования ошибок DNSSEC на уровне домена, даже если бы вы этого хотели). Если проблема заключается в неподдерживаемом криптоалгоритме в вашей версии BIND, то обновление BIND может быть единственным решением.

Связанный контент