tachtler:dns_isc_bind_archlinux
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende ÜberarbeitungNächste ÜberarbeitungBeide Seiten der Revision | ||
tachtler:dns_isc_bind_archlinux [2022/06/17 14:33] – [DNSSec CSK: Schlüsselerstellung] klaus | tachtler:dns_isc_bind_archlinux [2023/08/09 10:43] – [Vorbereitung: CSK] klaus | ||
---|---|---|---|
Zeile 2185: | Zeile 2185: | ||
Nachfolgende Anpassungen der Konfigurationsdatei ''/ | Nachfolgende Anpassungen der Konfigurationsdatei ''/ | ||
- | Nachfolgende **drei** Konfigurationszeilen müssen bei der **__jeweiligen Zonen-Definition__** hinzugefügt werden: | + | Nachfolgende **zwei** Konfigurationszeilen müssen bei der **__jeweiligen Zonen-Definition__** hinzugefügt werden: |
< | < | ||
... | ... | ||
inline-signing yes; | inline-signing yes; | ||
auto-dnssec maintain; | auto-dnssec maintain; | ||
- | key-directory " | ||
... | ... | ||
</ | </ | ||
Zeile 2434: | Zeile 2433: | ||
inline-signing yes; | inline-signing yes; | ||
auto-dnssec maintain; | auto-dnssec maintain; | ||
- | key-directory " | ||
}; | }; | ||
zone " | zone " | ||
Zeile 2441: | Zeile 2439: | ||
inline-signing yes; | inline-signing yes; | ||
auto-dnssec maintain; | auto-dnssec maintain; | ||
- | key-directory " | ||
}; | }; | ||
zone " | zone " | ||
Zeile 2448: | Zeile 2445: | ||
inline-signing yes; | inline-signing yes; | ||
auto-dnssec maintain; | auto-dnssec maintain; | ||
- | key-directory " | ||
}; | }; | ||
zone " | zone " | ||
Zeile 2455: | Zeile 2451: | ||
inline-signing yes; | inline-signing yes; | ||
auto-dnssec maintain; | auto-dnssec maintain; | ||
- | key-directory " | ||
}; | }; | ||
}; | }; | ||
Zeile 2484: | Zeile 2479: | ||
inline-signing yes; | inline-signing yes; | ||
auto-dnssec maintain; | auto-dnssec maintain; | ||
- | key-directory " | ||
}; | }; | ||
zone " | zone " | ||
Zeile 2491: | Zeile 2485: | ||
inline-signing yes; | inline-signing yes; | ||
auto-dnssec maintain; | auto-dnssec maintain; | ||
- | key-directory " | ||
}; | }; | ||
}; | }; | ||
Zeile 2526: | Zeile 2519: | ||
</ | </ | ||
- | ==== Überprüfung DNSsec ==== | + | ==== Überprüfung |
Folgende Abfrage sollte nun eine Ausgabe in etwa wie die nachfolgende zur Anzeige bringen: | Folgende Abfrage sollte nun eine Ausgabe in etwa wie die nachfolgende zur Anzeige bringen: | ||
Zeile 2586: | Zeile 2579: | ||
Wie **'' | Wie **'' | ||
- | < | + | < |
# dig @127.0.0.1 rechner10.intra.tachtler.net +dnssec +multi | # dig @127.0.0.1 rechner10.intra.tachtler.net +dnssec +multi | ||
Zeile 2630: | Zeile 2623: | ||
Nachfolgende Abfrage bringt den **DNSKEY** zum Vorschein: | Nachfolgende Abfrage bringt den **DNSKEY** zum Vorschein: | ||
- | < | + | < |
# dig @127.0.0.1 +cd +multi intra.tachtler.net dnskey | # dig @127.0.0.1 +cd +multi intra.tachtler.net dnskey | ||
Zeile 2704: | Zeile 2697: | ||
csk key-directory lifetime unlimited algorithm ecdsa256; | csk key-directory lifetime unlimited algorithm ecdsa256; | ||
}; | }; | ||
- | nsec3param iterations | + | nsec3param iterations |
// Key timings | // Key timings | ||
Zeile 2727: | Zeile 2720: | ||
**__Erklärungen__**: | **__Erklärungen__**: | ||
- | * <code ini> | + | * <code ini> |
Dies ist die einzige Änderung bzw. Ergänzung zum **'' | Dies ist die einzige Änderung bzw. Ergänzung zum **'' | ||
Zeile 2733: | Zeile 2726: | ||
* Anzeige der Ausgabe | * Anzeige der Ausgabe | ||
* " | * " | ||
+ | |||
+ | :!: **HINWEIS** - **Nachfolgende Seiten geben über den aktuellen Stand der Benutzung von NSEC3 aus:** | ||
+ | * https:// | ||
+ | * https:// | ||
+ | * https:// | ||
==== DNSSec CSK: / | ==== DNSSec CSK: / | ||
Zeile 2745: | Zeile 2743: | ||
Nachfolgende Anpassungen der Konfigurationsdatei ''/ | Nachfolgende Anpassungen der Konfigurationsdatei ''/ | ||
- | Nachfolgende **drei** Konfigurationszeilen müssen bei der **__jeweiligen Zonen-Definition__** hinzugefügt werden: | + | Nachfolgende **zwei** Konfigurationszeilen müssen bei der **__jeweiligen Zonen-Definition__** hinzugefügt werden: |
< | < | ||
... | ... | ||
+ | inline-signing yes; | ||
dnssec-policy defaultnsec3; | dnssec-policy defaultnsec3; | ||
... | ... | ||
</ | </ | ||
+ | |||
+ | :!: **ACHTUNG** - **Falls '' | ||
:!: **HINWEIS** - Der DNS-Server [[http:// | :!: **HINWEIS** - Der DNS-Server [[http:// | ||
Zeile 2991: | Zeile 2992: | ||
file " | file " | ||
dnssec-policy defaultnsec3; | dnssec-policy defaultnsec3; | ||
- | key-directory " | ||
}; | }; | ||
zone " | zone " | ||
Zeile 2997: | Zeile 2997: | ||
file " | file " | ||
dnssec-policy defaultnsec3; | dnssec-policy defaultnsec3; | ||
- | | + | |
}; | }; | ||
zone " | zone " | ||
Zeile 3003: | Zeile 3003: | ||
file " | file " | ||
dnssec-policy defaultnsec3; | dnssec-policy defaultnsec3; | ||
- | | + | |
}; | }; | ||
zone " | zone " | ||
Zeile 3009: | Zeile 3009: | ||
file " | file " | ||
dnssec-policy defaultnsec3; | dnssec-policy defaultnsec3; | ||
- | | + | |
}; | }; | ||
}; | }; | ||
Zeile 3037: | Zeile 3037: | ||
file " | file " | ||
dnssec-policy defaultnsec3; | dnssec-policy defaultnsec3; | ||
- | | + | |
}; | }; | ||
zone " | zone " | ||
Zeile 3043: | Zeile 3043: | ||
file " | file " | ||
dnssec-policy defaultnsec3; | dnssec-policy defaultnsec3; | ||
- | | + | |
}; | }; | ||
}; | }; | ||
Zeile 3082: | Zeile 3082: | ||
Nachdem kein Schlüsselmaterial erstellt worden ist, erscheinen nachfolgende Fehlermeldungen beim ersten Start im Log, welches mit nachfolgendem Befehl durchsucht werden kann: | Nachdem kein Schlüsselmaterial erstellt worden ist, erscheinen nachfolgende Fehlermeldungen beim ersten Start im Log, welches mit nachfolgendem Befehl durchsucht werden kann: | ||
< | < | ||
- | Jun 17 14:27:58 vml020 named[2832]: | + | Jun 17 14:27:58 vml020 named[2832]: |
IN/ | IN/ | ||
- | Jun 17 14:27:58 vml020 named[2832]: | + | Jun 17 14:27:58 vml020 named[2832]: |
IN/ | IN/ | ||
- | Jun 17 14:27:58 vml020 named[2832]: | + | Jun 17 14:27:58 vml020 named[2832]: |
- | could not get zone keys for secure dynamic update | + | IN/ |
- | Jun 17 14:27:58 vml020 named[2832]: | + | Jun 17 14:27:58 vml020 named[2832]: |
- | could not get zone keys for secure dynamic update | + | IN/ |
- | Jun 17 14:27:58 vml020 named[2832]: | + | Jun 17 14:27:58 vml020 named[2832]: |
addr.arpa/ | addr.arpa/ | ||
- | Jun 17 14:27:58 vml020 named[2832]: | + | Jun 17 14:27:58 vml020 named[2832]: |
addr.arpa/ | addr.arpa/ | ||
</ | </ | ||
+ | Dies ist nur das Ergebnis der Feststellung, | ||
+ | Das Ergebnis der **__automatischen__ Schlüsselerstellung** kann durch Auflistung des Verzeichnisses: | ||
+ | * ''/ | ||
+ | überprüft werden uns sollte verschiedenes Schlüsselmaterial in etwa wie folgt zur Anzeige bringen: | ||
+ | < | ||
+ | # ls -l / | ||
+ | total 48 | ||
+ | -rw-r--r-- 1 named named 425 Jun 17 18:27 K0.168.192.in-addr.arpa.+013+21339.key | ||
+ | -rw------- 1 named named 215 Jun 17 18:27 K0.168.192.in-addr.arpa.+013+21339.private | ||
+ | -rw-r--r-- 1 named named 653 Jun 17 18:27 K0.168.192.in-addr.arpa.+013+21339.state | ||
+ | -rw-r--r-- 1 named named 435 Jun 17 18:27 K167.171.217.88.in-addr.arpa.+013+16299.key | ||
+ | -rw------- 1 named named 215 Jun 17 18:27 K167.171.217.88.in-addr.arpa.+013+16299.private | ||
+ | -rw-r--r-- 1 named named 658 Jun 17 18:27 K167.171.217.88.in-addr.arpa.+013+16299.state | ||
+ | -rw-r--r-- 1 named named 417 Jun 17 18:27 Kintra.tachtler.net.+013+42607.key | ||
+ | -rw------- 1 named named 215 Jun 17 18:27 Kintra.tachtler.net.+013+42607.private | ||
+ | -rw-r--r-- 1 named named 649 Jun 17 18:27 Kintra.tachtler.net.+013+42607.state | ||
+ | -rw-r--r-- 1 named named 405 Jun 17 18:27 Ktachtler.net.+013+15659.key | ||
+ | -rw------- 1 named named 215 Jun 17 18:27 Ktachtler.net.+013+15659.private | ||
+ | -rw-r--r-- 1 named named 643 Jun 17 18:27 Ktachtler.net.+013+15659.state | ||
+ | </ | ||
- | FIXME - **Hie geht es weiter... / To be continued...** | + | ==== Überprüfung CSK: DNSsec ==== |
+ | |||
+ | Folgende Abfrage sollte nun eine Ausgabe in etwa wie die nachfolgende zur Anzeige bringen: | ||
+ | < | ||
+ | # dig @127.0.0.1 rechner10.intra.tachtler.net +dnssec +multi | ||
+ | |||
+ | ; <<>> | ||
+ | ; (1 server found) | ||
+ | ;; global options: +cmd | ||
+ | ;; Got answer: | ||
+ | ;; ->> | ||
+ | ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 | ||
+ | |||
+ | ;; OPT PSEUDOSECTION: | ||
+ | ; EDNS: version: 0, flags: do; udp: 1232 | ||
+ | ; COOKIE: c15dc5b0231f0a5d7f46930b62ac764403fd2807928addb2 (good) | ||
+ | ;; QUESTION SECTION: | ||
+ | ; | ||
+ | |||
+ | ;; ANSWER SECTION: | ||
+ | rechner10.intra.tachtler.net. 10800 IN A 192.168.0.10 | ||
+ | rechner10.intra.tachtler.net. 10800 IN RRSIG A 13 4 10800 ( | ||
+ | 20220626045317 20220617112758 42607 intra.tachtler.net. | ||
+ | q6rSagtdy9bb69ED/ | ||
+ | fqAgkDgeV7I+K+4NfUW+Y+LAaSHNwAtPoLwqstLuoQ== ) | ||
+ | |||
+ | ;; Query time: 0 msec | ||
+ | ;; SERVER: 127.0.0.1# | ||
+ | ;; WHEN: Fri Jun 17 18:40:36 CEST 2022 | ||
+ | ;; MSG SIZE rcvd: 215 | ||
+ | |||
+ | </ | ||
+ | |||
+ | :!: **HINWEIS** - Das '' | ||
+ | |||
+ | Eine erweitere Ansicht kann durch Änderung nachfolgender **Option** erzeugt werden: | ||
+ | <code ini> | ||
+ | // This option controls the addition of records to the authority and | ||
+ | // additional sections of responses. The default is no-auth-recursive. | ||
+ | minimal-responses no; | ||
+ | </ | ||
+ | |||
+ | **__Nachfolgende Optionen sind möglich__**: | ||
+ | |||
+ | * <code ini> | ||
+ | |||
+ | Der Server ist bei der Erstellung von Antworten so vollständig wie möglich. | ||
+ | |||
+ | * <code ini> | ||
+ | |||
+ | Der Server fügt nur dann Datensätze zu den Autoritäts- und Zusatzabschnitten hinzu, wenn solche Datensätze vom DNS-Protokoll verlangt werden (z. B. bei der Rückgabe von Delegationen oder negativen Antworten). Dies bietet die beste Serverleistung, | ||
+ | |||
+ | * <code ini> | ||
+ | |||
+ | Der Server lässt Datensätze aus dem " | ||
+ | |||
+ | * <code ini> | ||
+ | |||
+ | Wie **'' | ||
+ | |||
+ | < | ||
+ | # dig @127.0.0.1 rechner10.intra.tachtler.net +dnssec +multi | ||
+ | |||
+ | ; <<>> | ||
+ | ; (1 server found) | ||
+ | ;; global options: +cmd | ||
+ | ;; Got answer: | ||
+ | ;; ->> | ||
+ | ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 3 | ||
+ | |||
+ | ;; OPT PSEUDOSECTION: | ||
+ | ; EDNS: version: 0, flags: do; udp: 1232 | ||
+ | ; COOKIE: 6e4a0a4e229380d7c64f7fae62ac76e0189e8716e37022f0 (good) | ||
+ | ;; QUESTION SECTION: | ||
+ | ; | ||
+ | |||
+ | ;; ANSWER SECTION: | ||
+ | rechner10.intra.tachtler.net. 10800 IN A 192.168.0.10 | ||
+ | rechner10.intra.tachtler.net. 10800 IN RRSIG A 13 4 10800 ( | ||
+ | 20220626045317 20220617112758 42607 intra.tachtler.net. | ||
+ | q6rSagtdy9bb69ED/ | ||
+ | fqAgkDgeV7I+K+4NfUW+Y+LAaSHNwAtPoLwqstLuoQ== ) | ||
+ | |||
+ | ;; AUTHORITY SECTION: | ||
+ | intra.tachtler.net. 10800 IN NS ns1.intra.tachtler.net. | ||
+ | intra.tachtler.net. 10800 IN RRSIG NS 13 3 10800 ( | ||
+ | 20220626045317 20220617112758 42607 intra.tachtler.net. | ||
+ | 7AzDTZE5JcJ+RCu6S8bq4OSuk4HEgdht5yM+0841oC+b | ||
+ | fOaZ8aVSVzG+Dmp744YsOJmFRSJ18HAGJmlGkJ/ | ||
+ | |||
+ | ;; ADDITIONAL SECTION: | ||
+ | ns1.intra.tachtler.net. 10800 IN A 192.168.0.20 | ||
+ | ns1.intra.tachtler.net. 10800 IN RRSIG A 13 4 10800 ( | ||
+ | 20220626045317 20220617112758 42607 intra.tachtler.net. | ||
+ | 0dBJWwufYcPPMiphUhF3hOQxBRABxfuRpJtHMZMgftBp | ||
+ | 9+ucj7ksGtVguiekxPdvUy9ekxqKkN0QdDlh1IHb0A== ) | ||
+ | |||
+ | ;; Query time: 10 msec | ||
+ | ;; SERVER: 127.0.0.1# | ||
+ | ;; WHEN: Fri Jun 17 18:43:12 CEST 2022 | ||
+ | ;; MSG SIZE rcvd: 477 | ||
+ | |||
+ | </ | ||
+ | |||
+ | Nachfolgende Abfrage bringt den **DNSKEY** zum Vorschein: | ||
+ | < | ||
+ | # dig @127.0.0.1 +cd +multi intra.tachtler.net dnskey | ||
+ | |||
+ | ; <<>> | ||
+ | ; (1 server found) | ||
+ | ;; global options: +cmd | ||
+ | ;; Got answer: | ||
+ | ;; ->> | ||
+ | ;; flags: qr aa rd ra cd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 | ||
+ | |||
+ | ;; OPT PSEUDOSECTION: | ||
+ | ; EDNS: version: 0, flags:; udp: 1232 | ||
+ | ; COOKIE: 159da8d05abb887dc1ed847562ac77046457c9a3b5751b4f (good) | ||
+ | ;; QUESTION SECTION: | ||
+ | ; | ||
+ | |||
+ | ;; ANSWER SECTION: | ||
+ | intra.tachtler.net. 3600 IN DNSKEY 257 3 13 ( | ||
+ | cwuwXubEW8if4s/ | ||
+ | dObg3GD3KN+KQLkRQE5QMxcP86il8GWWGeEYIv1lfw== | ||
+ | ) ; KSK; alg = ECDSAP256SHA256 ; key id = 42607 | ||
+ | |||
+ | ;; Query time: 0 msec | ||
+ | ;; SERVER: 127.0.0.1# | ||
+ | ;; WHEN: Fri Jun 17 14:43:48 CEST 2022 | ||
+ | ;; MSG SIZE rcvd: 155 | ||
+ | |||
+ | |||
+ | </ | ||
+ | |||
+ | :!: **HINWEIS** - Eine Abfrage kann nur auf eine Zone erfolgen, nicht auf einen einzelnen DNS-Eintrag. | ||
===== Manuelle Zone-Datei Updates ===== | ===== Manuelle Zone-Datei Updates ===== |
tachtler/dns_isc_bind_archlinux.txt · Zuletzt geändert: 2023/08/09 12:58 von klaus