Tôi đang chạy Unbound 1.9.0 dưới dạng máy chủ DNS lưu đệm đệ quy cho một văn phòng chi nhánh nhỏ. Nó chỉ đệ quy qua TLS đối với cloudflare và nó có một vùng cục bộ trong suốt kiểu trong suốt (example.com) ghi đè một số bản ghi công khai từ các máy chủ có thẩm quyền công khai.
Tôi đang triển khai các bản ghi SSHFP trên toàn tổ chức của mình và vì tính năng không liên kết không đặt cờ AD (DNSSEC) nên máy khách SSH cho biết "Tìm thấy dấu vân tay của khóa máy chủ phù hợp trong DNS" nhưng vẫn hỏi liệu tôi có tin tưởng dấu vân tay của máy chủ hay không. thử nghiệm với ssh -o "VerifyHostKeyDNS có" [email protected]
Bằng chứng của vấn đề ở cuối bài viết này.
Các https://dnssec.vs.uni-due.de/ kiểm tra trả về OK từ mỗi máy khách LAN.
Khách hàng thử nghiệm đang sử dụng như sau /etc/resolv.conf (NetworkManager 1.10.6, không phân giải systemd, không dnsmasq).
tìm kiếm ví dụ.com
máy chủ tên 192.168.1.100
Đây là những phần có liên quan từ /etc/unbound/unbound.conf:
giao diện: 192.168.1.100
giao diện: 192.168.1.100@853
cổng tls: 853
tls-service-key: /etc/unbound/mycert.pem
tls-service-pem: /etc/unbound/mykey.key
kích thước tối đa udp: 65536
do-udp: vâng
do-tcp: có
tcp-ngược dòng: không
module-config: "trình lặp xác thực"
ẩn danh tính: có
phiên bản ẩn: có
danh tính: "Không được hỗ trợ"
phiên bản: "0"
tối thiểu hóa qname: có
cứng-ngắn-bufsize: có
làm cứng truy vấn lớn: có
keo cứng: có
harden-dnssec-tước: có
harden-below-nxdomain: có
harden-giới thiệu-đường dẫn: có
sử dụng-caps-for-id: có
khóa tìm nạp trước: có
rrset-roundrobin: có
phản hồi tối thiểu: có
val-sạch-bổ sung: có
val-permissive-mode: không
#PHÍA TRƯỚC
chuyển tiếp khu vực:
chuyển tiếp-tls-ngược dòng: có
Tên: "."
chuyển tiếp-addr: 1.1.1.1@853#cloudflare-dns.com
chuyển tiếp-addr: 1.0.0.1@853#cloudflare-dns.com
#KHU VỰC ĐỊA PHƯƠNG
vùng cục bộ: example.com typetransparent
dữ liệu cục bộ: "gw.example.com A 192.168.1.1"
local-data-ptr: "192.168.1.1 gw.example.com"
Bằng chứng về vấn đề sử dụng đào
# TRỰC TIẾP CÂU HỎI CLOUDFLARE HIỂN THỊ CỜ QUẢNG CÁO :
user@testclient:~$ dig -t SSHFP test.example.com +dnssec @1.1.1.1
; <<>> DiG 9.11.3-1ubuntu1.15-Ubuntu <<>> -t SSHFP test.example.com +dnssec @1.1.1.1
;; tùy chọn chung: +cmd
;; Có câu trả lời:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54559
;; cờ: qr rd ra quảng cáo; CÂU HỎI: 1, TRẢ LỜI: 5, AUTHORITY: 0, BỔ SUNG: 1
;; LỰA CHỌN PSEULiều lượng:
; EDNS: phiên bản: 0, cờ: làm; udp: 1232
;; PHẦN CÂU HỎI:
;test.example.com. TRONG SSHFP
;; PHẦN TRẢ LỜI:
kiểm tra.example.com. 300 TRONG SSHFP 1 2 xxx yyy
kiểm tra.example.com. 300 TRONG SSHFP 2 2 xxx yyy
kiểm tra.example.com. 300 TRONG SSHFP 3 2 xxx yyy
kiểm tra.example.com. 300 TRONG SSHFP 4 2 xxx yyy
kiểm tra.example.com. 300 TRONG RRSIG SSHFP 13 3 300 20211017181912 20211015161912 34505 ví dụ.com. zzz==
;; Thời gian truy vấn: 19 mili giây
;; MÁY CHỦ: 1.1.1.1#53(1.1.1.1)
;; THỜI GIAN: Thứ bảy ngày 16 tháng 10 19:32:33 CEST 2021
;; KÍCH THƯỚC MSG rcvd: 334
# MẤT CỜ QUẢNG CÁO KHI QUERY UNBOUND LOCAL:
user@testclient:~$ dig -t SSHFP test.example.com +dnssec @192.168.1.100
; <<>> DiG 9.11.3-1ubuntu1.15-Ubuntu <<>> -t SSHFP test.example.com +dnssec @192.168.1.100
;; tùy chọn chung: +cmd
;; Có câu trả lời:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54559
;; cờ: qr rd ra; CÂU HỎI: 1, TRẢ LỜI: 5, AUTHORITY: 0, BỔ SUNG: 1
;; LỰA CHỌN PSEULiều lượng:
; EDNS: phiên bản: 0, cờ: làm; udp: 1232
;; PHẦN CÂU HỎI:
;test.example.com. TRONG SSHFP
;; PHẦN TRẢ LỜI:
kiểm tra.example.com. 2670 TRONG SSHFP 1 2 xxx yyy
kiểm tra.example.com. 2670 TRONG SSHFP 2 2 xxx yyy
kiểm tra.example.com. 2670 TRONG SSHFP 3 2 xxx yyy
kiểm tra.example.com. 2670 TRONG SSHFP 4 2 xxx yyy
kiểm tra.example.com. 2670 TRONG RRSIG SSHFP 13 3 300 20211017181912 20211015161912 34505 ví dụ.com. zzz==
;; Thời gian truy vấn: 2 mili giây
;; MÁY CHỦ: 192.168.1.100#53(192.168.1.100)
;; THỜI GIAN: Thứ bảy ngày 16 tháng 10 19:32:33 CEST 2021
;; KÍCH THƯỚC MSG rcvd: 334
