Tham gia Đăng nhập
Điểm:0
Tenders McChiken avatar Server

Làm cách nào để ngăn Bind gỡ bỏ các khóa DNSSEC chưa hết hạn khi sử dụng Chính sách DNSSEC?

lá cờ eg
Tenders McChiken

Để kiểm soát khi chữ ký hết hạn, tôi đã chuyển sang sử dụng chính sách dnssec để tạo bản ghi DNSSEC cho các vùng của tôi. Điều này đã giải quyết vấn đề khiến các bản ghi RRSIG hết hạn khi cần nhưng lại gây ra một vấn đề mới của riêng nó.

bind9 hiện đang liên tục cố gắng gỡ bỏ các khóa KSK và ZKS chưa hết hạn của tôi. Làm cách nào để định cấu hình liên kết không thử bất kỳ thao tác xoay phím nào khi các phím không bao giờ hết hạn?

Đây là phần có liên quan trong nhật ký của tôi:

có tên[5078]: keymgr: nghỉ hưu DNSKEY example.com/ED25519/00000 (KSK)
được đặt tên [5078]: keymgr: DNSKEY example.com/ED25519/50916 (ZSK) được tạo cho chính sách example-com-policy
có tên[5078]: vùng example.com/IN (đã ký): vùng_rekey:dns_dnssec_keymgr không thành công: xảy ra lỗi khi ghi khóa vào đĩa

Một số thông tin thêm về thiết lập của tôi:

  1. Các khóa KSK và ZSK được tạo bằng cách chạy:

    dnssec-keygen -a ED25519 -f KSK example.com
dnssec-keygen -a ED25519 example.com

  2. Tuyên bố chính sách trong có tên.conf.local:

    dnssec-policy ví dụ-com-policy {
  dnskey-ttl 300;
  phím {
      thuật toán không giới hạn tuổi thọ của thư mục khóa ksk ED25519;
      thuật toán không giới hạn tuổi thọ thư mục khóa zsk ED25519;
  };
  max-khu-ttl 300;
  huynh-ds-ttl 300;
  cha mẹ-tuyên truyền-chậm trễ 2h;
  xuất bản-an toàn 7d;
  hưu-an 7d;
  chữ ký-làm mới 1439h;
  chữ ký-hiệu lực 90d;
  chữ ký-hiệu lực-dnskey 90d;
  vùng-lan truyền-trễ 2h;
};

  3. Khai báo vùng trong có tên.conf.local:

    vùng "example.com" {
     gõ chủ;
     tệp ".../db.example.com";
     cho phép chuyển { ... };
     Cũng thông báo     { ... };

     thư mục khóa "...";
     nối tiếp cập nhật phương pháp unixtime;
     ví dụ chính sách dnssec-chính sách com;
};

  4. và nội dung của .../db.example.com:

    $ TTL 300
@ TRONG SOA ns1.example.com. quản trị viên.example.com. (
         1634019890 ; nối tiếp
         10m ; Làm mới
         20m ; Thử lại
         9tuần ; Hết hiệu lực
         1h ) ; Bộ đệm âm TTL
;

ví dụ.com. TRONG NS ns1.example.com.
ví dụ.com. TRONG NS ns2.example.com.

; ...

  5. Thông tin hệ thống:

    • bind9 9.16.15-debian
    • Debian 11 (ổn định mới nhất)
    • Cấu hình apparmor mặc định
    • có tên có quyền truy cập chỉ đọc vào thư mục khóa

Cập nhật 22-10-2021

Thông tin thời gian cho cả hai phím (theo dnssec-settime -p tất cả) Là:

Ngày tạo: CN Ngày 10 tháng 10 07:51:48 2021
Xuất bản: CN ngày 10 tháng 10 07:51:48 2021
Kích hoạt: CN ngày 10 tháng 10 07:51:48 2021
Thu hồi: UNSET
Không hoạt động: UNSET
Xóa: UNSET
Xuất bản SYNC: UNSET
XÓA ĐỒNG BỘ HÓA: UNSET
DS Xuất bản: UNSET
DS Xóa: UNSET
214
0 + 0
lá cờ pl
Adrian Zaugg
Thông tin về thời gian cũng được lưu trong khóa, hãy sử dụng dnssec-settime để sửa đổi: Xem bên dưới https://dnssec-guide.readthedocs.io/en/latest/signing.html#setting-key-timing-information. Điều này có giải quyết được vấn đề của bạn không?
0
Hồi đáp
Tenders McChiken avatar
lá cờ eg
Tenders McChiken
Vì các khóa không bao giờ hết hạn nên tôi không chắc rằng thông tin về thời gian được nhúng trong các khóa của tôi là nguyên nhân gây ra sự cố này. Tôi đã chỉnh sửa bài đăng của mình để bao gồm thông tin về thời gian cho hai khóa.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.