Làm cách nào để sửa DNSSEC của tôi? DNSSEC của tôi chưa bao giờ hoạt động và có lẽ vấn đề đã trở nên tồi tệ hơn

Nỗ lực DNSSEC của tôi đã không thành công. Để giúp hiểu về DNSSEC, tôi đã đọc nhiều bài báo trực tuyến, trang hướng dẫn về rndc, dnssec-*, đã xem dnsviz.net và dnssec-analyzer.verisignlabs.com/. Hầu hết thông tin giải thích rất chi tiết về DNSSEC nhưng tôi cần biết CÁI GÌ cần làm và cách KHẮC PHỤC sự cố.

Ví dụ: dnsviz.net/allenintech.com cho biết "không có bản ghi DNSKEY hợp lệ nào được cung cấp bởi máy chủ định danh có thẩm quyền để khớp với bản ghi DS do máy chủ định danh TLD xuất bản".

Bản ghi DNSKEY do NS cung cấp khớp với bản ghi DS do TLD xuất bản NHƯ THẾ NÀO? Có một cấu hình tôi đang thiếu? Có các lệnh rndc hoặc dnssec-* để thực hiện việc này không?

Hệ thống Ubuntu 20.04 BIND 9.16.1-Ubuntu (Bản phát hành ổn định) Apache/2.4.48 (Ubuntu)

Tập tin vùng tên.conf Để khắc phục sự cố, tất cả các vấn đề ngoại trừ một số khu vực đều được giữ lại. Tôi nghĩ rằng việc giảm các vùng sẽ giúp chẩn đoán và khắc phục sự cố tốt hơn.

Lưu ý Hai góc nhìn: bên trong và bên ngoài Máy chủ cục bộ IP: 10.0.0.1 (xem bên trong) Server IP tĩnh: 99.93.25.17 (nhìn từ bên ngoài) NS phụ: 51.38.99.90

tùy chọn{
        thư mục "/etc/bind/zoneFiles/";

        cổng nghe 53 { 127.0.0.1; 10.0.0.1; 99,93,25,17; };
        cho phép chuyển { none; };
        mặc định chính sách dnssec;
        tệp liên kết "/etc/bind/zoneFiles/bind.keys";
};

acl "mylo" {
        127.0.0.1;
};
acl "mylan" {
        10.0.0.0/24;
};
acl "mywireless" {
        192.168.1.0/24;
};
xem bên trong {
        khách hàng phù hợp {"mylan"; "mylo"; "mywireless";};
        đệ quy có;

        vùng "." {
                gõ gợi ý;
                tập tin "/etc/bind/zoneFiles/root.hints";
        };
        vùng "allenintech.com" {                                                         
                gõ chủ;  
                tệp "/etc/bind/zoneFiles/insideView/allenintech.com.inside/db.allenintech.com.inside";
                thư mục khóa "/etc/bind/zoneFiles/insideView/allenintech.com.inside";   
                cho phép chuyển {51.38.99.90;};                                           
        };                                                                               
};                                                                                       
xem bên ngoài {      

        đệ quy không;
        đối sánh khách hàng {bất kỳ;};
        cho phép truy vấn {bất kỳ;};
        #--------------------------------------------- -
        vùng "." {
                gõ gợi ý;
                tập tin "/etc/bind/zoneFiles/root.hints";
        };
   
        vùng "allenintech.com" {
                gõ chủ;
                tệp "/etc/bind/zoneFiles/outsideView/allenintech.com.outside/db.allenintech.com.outside";
                thư mục khóa "/etc/bind/zoneFiles/outsideView/allenintech.com.outside";
                cho phép chuyển {51.38.99.90;};
        };
};

Quang cảnh bên trong

$ORIGIN **allenintech.com.**
$ TTL 86400
@ TRONG SOA ns2.allenintech.com. besus.allenintech.com. (
                        2022030750 ; nối tiếp
                        28800 ; Làm mới
                        120 ; Thử lại
                        1209600 ; Hết hiệu lực
                        86400 ; tối thiểu
)               
        
; Máy chủ định danh
@ TRONG NS ns2.allenintech.com.
ns2 TRONG MỘT 10.0.0.1
                
; Dịch vụ web  
www TRONG MỘT 10.0.0.1
@ TRONG MỘT 10.0.0.1

Xem bên ngoài

$ORIGIN **allenintech.com.**
$ TTL 86400
@ TRONG SOA ns1.allenintech.com. besus.allenintech.com. (
                        2022030725 ; nối tiếp
                        28800 ; Làm mới
                        120 ; Thử lại
                        1209600 ; Hết hiệu lực
                        86400 ; tối thiểu
)               
        
; Máy chủ tên 
@ TRONG NS ns1.allenintech.com. ; sơ cấp
ns1 TRONG MỘT 99.93.25.17 ; sơ cấp
                
                        NS fns2.42.pl. ; thứ hai
        
        
; Dịch vụ web  
www TRONG MỘT 99.93.25.17
@ TRONG MỘT 99.93.25.17

** Hình ảnh hiện tại

DNSVIZ

MÁY PHÂN TÍCH DNSSECEN

hình ảnh cũ dnsviz dnssec-analyzer.verisignlab

hình ảnh cũ https://dnssec-analyzer.verisignlabs.com/allenintech.com

dnsviz.net/allenintech.com

Có sự không khớp giữa các khóa DNSSEC được sử dụng để ký vùng (13/61524) và ĐS hồ sơ được ký bởi khu vực cha mẹ (com. có 13/51277). Vui lòng cập nhật của bạn ĐS hồ sơ tại công ty đăng ký của bạn.

Các dnssec-signzone lệnh nên đã tạo một tệp có tên dsset-allenintech.com chứa đúng ĐS Hồ sơ:

allenintech.com. TRONG DS 61524 13 1 ******************************************
allenintech.com. TRONG DS 61524 13 2 ************************************************ ************ *********

Đây là giải pháp: Bind9 được thiết lập với "mặc định chính sách dns" như được mô tả trong phần tùy chọn ở trên. Điều này là quan trọng và rất mát mẻ. Hầu hết trợ giúp và tài liệu không đề cập đến "mặc định chính sách dns" mà đề cập đến "mặc định chính sách dns" theo các phương thức trước đó, cũ hơn và thậm chí không dùng nữa.

1.Nhận xét tất cả các cấu hình vùng trong tên.conf ngoại trừ một, ví dụ.com.

vùng "example.com" { gõ chủ; tệp "/.../example.com.outsideView/example.com.outside"; thư mục khóa "/.../zoneFiles/outsideView/example.com.outside"; };

một) tập tin là vị trí của tệp vùng example.com.Tôi tách các chế độ xem bên trong và bên ngoài và làm rõ chế độ xem nào mà tệp vùng đại diện, do đó, example.com.outside.

b) thư mục khóa là vị trí mà các khóa DNSSEC sẽ được ghi và nơi một sao chép của example.com được đặt. Điều quan trọng là phải tách riêng tệp vùng, example.com, trong cấu hình bind9, tức là name.conf. tệp và tệp vùng, example.com, được sao chép vào thư mục khóa như được cung cấp dưới dạng tùy chọn name.conf. Bạn sẽ sửa đổi tệp vùng, example.com, trong tệp nếu cần. Đó là bản sao làm việc. Bản sao của tệp vùng, example.com, trong thư mục khóa sẽ được sửa đổi hoặc "ký" bởi DNSSEC "mặc định chính sách dnssec".

2.Khi các tùy chọn bind9 cho tệp cấu hình vùng được đặt bằng tệp và khóa-directoy, sau đó, a) Khởi động lại liên kết với "systemctl restart bind9" hoặc "rndc reload". "rndc reload" sẽ tải lại các tập tin cấu hình và vùng. Khi không hiểu được sự tương tác của DNSSEC với cấu hình liên kết và vùng, tôi đã sử dụng "tải lại rndc". Khi mọi thứ trở nên rõ ràng thì "systemctl restart bind9" là đủ. b) Khi bind9 đã được khởi động lại thành công, cd vào thư mục khóa. Sẽ có tệp vùng example.com.outside, .jnl và K.(key|state|private) như sau:

ví dụ.com.outside

ví dụ.com.outside.jnl

Kexample.com.+013+12345.key Kexample.com.+013+12345.state Kexample.com.+013+12345.private (013 - số thuật toán, 12345 - khóa)

3)Trích xuất bản ghi DS từ khóa sử dụng lệnh sau và lưu đầu ra

a) dnssec-dsfromkey Kexample.com.outside+013+12345.key > DSkeyexample.com.outside.

b) DSkeyexample.com.outside sẽ chứa bản ghi DS cho vùng example.com trong tệp example.com.outside, ví dụ: cat DSkeyexample.com.outside tạo ra:

ví dụ.com. TRONG ĐS 12345 13 2 1234adb69784efc7528746dab15432abfd78764cd543cccd5432123abcdef123

c) Gửi bản ghi DS tới ISP hoặc nhập bản ghi DS này vào giao diện DNSSEC của ISP.

4)Ký kết khu vực, example.com (tên tệp example.com.outside). Hãy nhớ rằng, vùng example.com được đặt ở hai vị trí: tệp và được sao chép vào thư mục khóa. example.com nằm trong "tệp" cấu hình liên kết dành cho các thay đổi và sửa đổi. Tệp vùng example.com được sao chép vào cấu hình liên kết "thư mục khóa" được ký bởi DNSSEC.

a) Ban đầu, cả hai tệp vùng sẽ có cùng kích thước nhỏ, tức là tất nhiên là giống hệt nhau, ví dụ 8KB. Khi việc ký diễn ra, tệp vùng trong thư mục khóa sẽ tăng gấp bốn lần kích thước, ví dụ từ 8KB lên 24KB. Ngoài ra, sử dụng trình chỉnh sửa, hãy mở tệp vùng nằm trong thư mục khóa. Lưu ý dữ liệu ký kết. Ký vùng là khi DNSSEC viết lại tệp vùng trong thư mục khóa. "mặc định chính sách dnssec" ký và duy trì vùng.

b) Việc ký kết vùng không phải lúc nào cũng diễn ra ngay lập tức. Sử dụng "systemctl status bind9" để theo dõi bản cập nhật khóa tiếp theo để nhận chỉ báo khi vùng có thể được ký.

5)Thực hiện thay đổi/chỉnh sửa đối với tệp vùng a) Không thay đổi hoặc sửa đổi tệp vùng đã ký hoặc chưa ký trong thư mục khóa. Thay đổi và sửa đổi tệp vùng trong tệp và lưu nó và nhớ tăng số sê-ri. Sau đó sao chép hoặc lưu dưới dạng các thay đổi vào thư mục khóa. Có, tệp vùng đã ký hoặc chưa ký sẽ được ghi đè. b) khởi động lại bind9: systemctl khởi động lại bind9.

6)Buộc khu phải ký. Khi bind9 đang chạy và không có lỗi nhưng vùng sẽ không ký.

a) xóa/xóa tệp *.jnl và tăng số sê-ri của tệp vùng nằm trong tệp. Sau đó sao chép/lưu dưới dạng vào thư mục khóa. Sau đó systemctl khởi động lại bind9.

b) Sử dụng lệnh rndc để bắt buộc ký. Xem người đàn ông rndc

rndc flush - Xóa bộ đệm của máy chủ.

rndc flushname name [view] - Xóa tên đã cho khỏi bộ đệm DNS của chế độ xem và, nếu có thể, từ cơ sở dữ liệu địa chỉ máy chủ tên của chế độ xem, bộ đệm máy chủ xấu và bộ đệm SERVFAIL.

rndc flushtree name [view] - Xoá tên đã cho và tất cả các tên miền phụ của nó, từ bộ đệm DNS của chế độ xem, cơ sở dữ liệu địa chỉ, bộ đệm máy chủ xấu và bộ đệm SERVFAIL.

khóa được quản lý (trạng thái | làm mới) [lớp [xem]]

c) Các lệnh trên dường như hoạt động tốt hơn khi kết hợp với rndc freeze và rndc thaw. Trước tiên hãy sử dụng rndc freeze, thực hiện (các) lệnh trên, sau đó rndc tan băng. Sau khi rndc tan băng, tôi phát hành thêm systemctl restart bind9. Bởi vì nó dường như làm việc tốt hơn.

7)Kiểm tra DNSSEC bằng cách sử dụng https://dnsviz.net/ và https://dnssec-analyzer.verisignlabs.com/

Khi vùng đầu tiên là DNSSEC, hãy bỏ ghi chú vùng khác và thực hiện theo các bước. Quá trình viết dài hơn và khó hơn nhiều so với việc thực sự trải qua các bước để DNSSEC hoạt động.