Tham gia Đăng nhập
Điểm:0
Christopher Hinkle avatar Server

BIND 9.16 mặc định chính sách dnssec không tự động gia hạn khóa

lá cờ ci
Christopher Hinkle

Ba tháng trước, tôi đã nâng cấp máy chủ DNS của mình lên BIND 9.16 (hiện đang chạy 9.16.25) để tận dụng lợi thế của phiên bản mới. mặc định chính sách dnssec tùy chọn cho phép tôi dễ dàng chạy DNSSEC cho các miền của mình. Tài liệu chỉ ra rằng việc quản lý khóa sẽ diễn ra tự động. Tôi đã triển khai điều này, đã thử nghiệm cục bộ, có vẻ như mọi thứ đã được ký kết ổn thỏa và tất cả dường như phù hợp với thế giới. Trước đây tôi chưa triển khai DNSSEC dưới bất kỳ hình thức nào cho các vùng này.

Sau đó, tôi biết rằng lẽ ra tôi nên tải các bản ghi DS của mình lên công ty đăng ký tên miền của mình để báo cáo với TLD rằng các vùng của tôi đã được ký và điều đó sẽ hoàn thành mạch để cho phép DNSSEC thực sự xảy ra... vì vậy tôi đã bắt đầu làm điều đó trong tháng này. Tuy nhiên, khi làm như vậy, mọi thứ bắt đầu thất bại và tôi nhanh chóng biết được rằng tất cả chữ ký của mình đã hết hạn sau 15 ngày kể từ khi tôi triển khai DNSSEC.

Tôi đã thử thực hiện chuyển đổi thủ công các phím cho một vùng. Điều đó đã thay đổi sigs cho một số bản ghi, nhưng không phải tất cả (ví dụ: không có bản ghi A, AAAA, CNAME). Tôi đã xem tài liệu để biết chi tiết về cách mặc định chính sách dnssec được triển khai và nhận thấy rằng các khóa được đặt thành không hết hạn, nhưng chữ ký được đặt hết hạn sau 15 ngày hoặc lâu hơn... và nếu các khóa không hết hạn, sẽ không có chuyển đổi nào được lên lịch. Vì vậy, những gì tôi phải làm về sigs hết hạn?

Liệu mặc định chính sách dnssec thực sự hoạt động như quảng cáo và tôi đang thiếu thứ gì đó quan trọng, hay tôi thực sự nên lăn bánh của mình ở đây?

Cài đặt có liên quan trong tên.conf.options:

tùy chọn {
[..]
        tự động xác thực dnssec;
        mặc định chính sách dnssec;
        dnssec-dnskey-ksko chỉ có;
        quản lý khóa-thư mục "/var/lib/bind";
[..]
};
130
0 + 0
Patrick Mevzek avatar
lá cờ cn
Patrick Mevzek
"Sau đó, tôi biết rằng lẽ ra tôi nên tải các bản ghi DS của mình lên công ty đăng ký của mình để báo cáo với TLD rằng các vùng của tôi đã được ký" Có, nếu không thì không có chuỗi tin cậy DNSSEC nên việc vùng của bạn được ký gần như không liên quan. Đây là loại cốt lõi của thiết kế DNSSEC, tôi khuyên bạn nên đảm bảo hiểu đầy đủ điều này trước khi tiếp tục (bạn đề cập đến việc chưa thực hiện DNSSEC trước đó). Đối với "rằng tất cả chữ ký của tôi đã hết hạn sau 15 ngày kể từ khi tôi triển khai DNSSEC." đây có thể là trường hợp nhưng khác với việc gửi DS đến cơ quan đăng ký thông qua cơ quan đăng ký.
0
Hồi đáp
Christopher Hinkle avatar
lá cờ ci
Christopher Hinkle
Cảm ơn Patrick. Vấn đề mà tôi gặp phải là khi tôi tải lên hồ sơ DS của mình, mọi thứ bị hỏng vì chữ ký đã hết hạn. Tôi cần sửa lỗi hết hạn chữ ký trước khi có thể tải lên các bản ghi DS để giữ cho mọi thứ không bị hỏng khi tôi làm. Bạn có bất kỳ cái nhìn sâu sắc về cách tôi có thể làm điều đó?
0
Hồi đáp
Patrick Mevzek avatar
lá cờ cn
Patrick Mevzek
Bạn đã xem các tệp nhật ký liên kết của mình chưa? Chữ ký vùng và cập nhật quan trọng nên được ghi lại? Điều này có thể giúp: https://gitlab.isc.org/isc-projects/bind9/-/wikis/DNSSEC-Key-and-Signing-Policy-(KASP) (đó là về những thay đổi trong 9.17 và nếu có thể, bạn nên chuyển sang nó). Xem https://bind9.readthedocs.io/en/v9_16_26/dnssec-guide.html: "Câu lệnh chính sách dnssec khiến vùng được ký và bật bảo trì tự động cho vùng. Điều này bao gồm cả việc ký lại vùng dưới dạng chữ ký hết hạn và thay thế các phím trên cơ sở định kỳ."
0
Hồi đáp
Christopher Hinkle avatar
lá cờ ci
Christopher Hinkle
Tôi đã thực sự. Tôi đã tìm thấy cùng một tài liệu mà bạn đã trích dẫn và đó chính xác là lý do tại sao tôi bắt đầu nâng cấp lên Bind 9.16 (tôi đã đề cập đến điều đó trong bài đăng). Nhật ký hiển thị "cấu hình lại các phím vùng" cho từng vùng mỗi giờ một lần. Tuy nhiên, các chữ ký đã hết hạn mà không được gia hạn. Nhật ký dnssec hiển thị cấu hình ban đầu và sau đó không có gì ngoại trừ các mục nhập cấu hình lại lặp đi lặp lại mặc dù đã hết hạn.
0
Hồi đáp
Patrick Mevzek avatar
lá cờ cn
Patrick Mevzek
Tăng cấp nhật ký và kiểm tra kỹ tất cả các quyền đối với tệp/thư mục. Cũng xin lưu ý rằng 9.17 thậm chí còn đơn giản hơn về DNSSEC so với 9.16. Tôi khuyên bạn chỉ cần bình tĩnh thử làm lại từ đầu với khu vực đồ chơi và thử nghiệm. Ở giai đoạn này với các yếu tố đã cho, tôi không biết tại sao mọi thứ không hiệu quả với bạn. Điều này: "Tôi đã thử thực hiện chuyển đổi thủ công các phím cho một vùng." là liên quan.Bạn phải để liên kết làm mọi thứ cho bạn hoặc bạn làm mọi thứ theo cách thủ công nhưng việc trộn lẫn quá có thể là một công thức cho các vấn đề.
0
Hồi đáp
Patrick Mevzek avatar
lá cờ cn
Patrick Mevzek
"Nhật ký hiển thị" cấu hình lại các phím vùng "cho từng vùng mỗi giờ một lần." Tôi không nghĩ rằng đây nên là trường hợp dự kiến. các phím không phải thay đổi thường xuyên như vậy. KSK giống như trong một năm, ZSK trong vài tuần. Những gì có thể thay đổi thường xuyên hơn là chữ ký. Nếu liên kết đang nói về các phím thường xuyên thì có thể có vấn đề ở đó.
0
Hồi đáp
Christopher Hinkle avatar
lá cờ ci
Christopher Hinkle
"Có thể có một vấn đề ở đó." ĐÚNG! Đó là lý do tại sao tôi đặt câu hỏi. :) Tôi chỉ có nó bằng cách sử dụng `dnssec-policy default` mà không có cấu hình nào khác. Nó đang sử dụng CSK thay vì KSK/ZSK. Tôi không thể sử dụng 9.17 vì tôi đang sử dụng cái này trên Ubuntu 20, hiện tại nó chỉ hỗ trợ 9.16.
0
Hồi đáp
Điểm:0
Patrick Mevzek avatar Server
lá cờ cn
Patrick Mevzek

Xem ví dụ trong https://bind9.readthedocs.io/en/v9_16_26/dnssec-guide.html điều đó nói:

Kích hoạt bảo trì vùng DNSSEC tự động và tạo khóa

Để ký một vùng, hãy thêm câu lệnh sau vào mệnh đề vùng của nó trong Tệp cấu hình BIND 9:

tùy chọn {
    thư mục "/etc/bind";
    đệ quy không;
    ...
};

vùng "example.com" trong {
    ...
    mặc định chính sách dnssec;
    ...
};

Tuyên bố chính sách dnssec làm cho vùng được ký và bật bảo trì tự động cho khu vực. Điều này bao gồm ký lại khu vực khi chữ ký hết hạn và thay thế khóa định kỳ. Giá trị default chọn chính sách mặc định chứa các giá trị phù hợp với hầu hết các tình huống.

Không phải cái đó chính sách dnssec có thể ở trong một vùng tuyên bố, hoặc trong tùy chọn nhưng sau đó nó được áp dụng ở mọi nơi. Đặc biệt khi bắt đầu, để kiểm tra mọi thứ, bạn có thể muốn hạn chế mọi thứ trên mỗi vùng. Nhưng ngoài ra, nó sẽ hoạt động tốt với cấu hình đó.

Nếu không phải là trường hợp của bạn, bạn cần cung cấp thêm chi tiết dựa trên tệp nhật ký của mình.

Sau đó trong cùng một trang, bạn có thể xem các dòng nhật ký dự kiến ​​với cấu hình trên:

07-Apr-2020 16:02:55.045 zone example.com/IN (đã ký): định cấu hình lại các khóa vùng
07-Apr-2020 16:02:55.045 tải lại cấu hình thành công
07-Apr-2020 16:02:55.046 keymgr: DNSKEY example.com/ECDSAP256SHA256/10376 (CSK) được tạo cho mặc định chính sách
07-Apr-2020 16:02:55.046 Đang tìm nạp example.com/ECDSAP256SHA256/10376 (CSK) từ kho lưu trữ khóa.
07-Apr-2020 16:02:55.046 DNSKEY example.com/ECDSAP256SHA256/10376 (CSK) hiện đã được xuất bản
07-Apr-2020 16:02:55.046 DNSKEY example.com/ECDSAP256SHA256/10376 (CSK) hiện đang hoạt động
07-Apr-2020 16:02:55.048 zone example.com/IN (đã ký): sự kiện quan trọng tiếp theo: 07-Apr-2020 18:07:55.045

xem đã ký ở dòng cuối cùng và dấu thời gian được cung cấp khi có điều gì đó (có thể là chữ ký mới) sẽ xảy ra. Đối với:

Tôi cần sửa lỗi hết hạn chữ ký trước khi có thể tải lên các bản ghi DS để giữ cho mọi thứ không bị hỏng khi tôi làm.

Ngay cả khi không có sự cố, KHÔNG BAO GIỜ tải lên DS mà không kiểm tra cục bộ, quá trình xác thực sẽ hoạt động từ đầu đến cuối. Bạn có thể làm điều đó với một công cụ trực tuyến như DNSViz, chỉ định rõ ràng DS mới mà bạn sắp thêm và công cụ sẽ kiểm tra mọi thứ nếu DS đã ổn. Lưu ý rằng thông thường KSK (trong đó ĐS bản ghi về cơ bản là một hàm băm) được cho là thay đổi "thường xuyên" theo giai điệu từ một lần mỗi năm thành 2 năm một lần hoặc những thứ tương tự. Tại thời điểm đó bạn cần xoay ĐS cũng vậy, nhưng hãy thận trọng nếu bạn không muốn phá vỡ độ phân giải.

0 + 0
Christopher Hinkle avatar
lá cờ ci
Christopher Hinkle
_Config_: Tôi cố ý đặt dòng `dnssec-policy` trong câu lệnh tùy chọn của mình vì tôi muốn nó áp dụng cho tất cả các vùng. _Logfiles_: nhật ký /var/log/named/dnssec của tôi có các mục bạn mô tả ngoại trừ việc nó không bao giờ ghi "(signed)" sau bất kỳ mục nhập vùng nào và "sự kiện quan trọng tiếp theo" luôn cách đó 60 phút. Khi hết 60 phút, tôi nhận được một mục: `ví dụ vùng.com/IN: cấu hình lại các khóa vùng` và ngay sau đó là một mục khác `sự kiện quan trọng tiếp theo`. Không có gì bao giờ được cấu hình lại. Không có lỗi trong nhật ký liên quan đến quá trình này.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.