Benutzer-Werkzeuge

Webseiten-Werkzeuge


tachtler:dns_isc_bind_archlinux

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
tachtler:dns_isc_bind_archlinux [2022/06/17 14:40] – [DNSSec CSK: Schlüsselerstellung] klaustachtler:dns_isc_bind_archlinux [2023/08/09 12:58] (aktuell) – [Vorbereitung: CSK] klaus
Zeile 2185: Zeile 2185:
 Nachfolgende Anpassungen der Konfigurationsdatei ''/etc/named.conf'' müssen durchgeführt werden um DNSsec **__voll automatisiert__** durch den DNS-Server [[http://www.isc.org|ISC (Internet System Consortium)]] einzurichten. Nachfolgende Anpassungen der Konfigurationsdatei ''/etc/named.conf'' müssen durchgeführt werden um DNSsec **__voll automatisiert__** durch den DNS-Server [[http://www.isc.org|ISC (Internet System Consortium)]] einzurichten.
  
-Nachfolgende **drei** Konfigurationszeilen müssen bei der **__jeweiligen Zonen-Definition__** hinzugefügt werden:+Nachfolgende **zwei** Konfigurationszeilen müssen bei der **__jeweiligen Zonen-Definition__** hinzugefügt werden:
 <code> <code>
 ... ...
                 inline-signing yes;                 inline-signing yes;
                 auto-dnssec maintain;                 auto-dnssec maintain;
-                key-directory "keys"; 
 ... ...
 </code> </code>
Zeile 2434: Zeile 2433:
                 inline-signing yes;                 inline-signing yes;
                 auto-dnssec maintain;                 auto-dnssec maintain;
-                key-directory "keys"; 
  };  };
  zone "0.168.192.in-addr.arpa" IN {  zone "0.168.192.in-addr.arpa" IN {
Zeile 2441: Zeile 2439:
                 inline-signing yes;                 inline-signing yes;
                 auto-dnssec maintain;                 auto-dnssec maintain;
-                key-directory "keys"; 
  };  };
  zone "tachtler.net" IN {  zone "tachtler.net" IN {
Zeile 2448: Zeile 2445:
                 inline-signing yes;                 inline-signing yes;
                 auto-dnssec maintain;                 auto-dnssec maintain;
-                key-directory "keys"; 
  };  };
  zone "167.171.217.88.in-addr.arpa" IN {  zone "167.171.217.88.in-addr.arpa" IN {
Zeile 2455: Zeile 2451:
                 inline-signing yes;                 inline-signing yes;
                 auto-dnssec maintain;                 auto-dnssec maintain;
-                key-directory "keys"; 
  };  };
 }; };
Zeile 2484: Zeile 2479:
                 inline-signing yes;                 inline-signing yes;
                 auto-dnssec maintain;                 auto-dnssec maintain;
-                key-directory "keys"; 
  };  };
  zone "167.171.217.88.in-addr.arpa" IN {  zone "167.171.217.88.in-addr.arpa" IN {
Zeile 2491: Zeile 2485:
                 inline-signing yes;                 inline-signing yes;
                 auto-dnssec maintain;                 auto-dnssec maintain;
-                key-directory "keys"; 
  };  };
 }; };
Zeile 2586: Zeile 2579:
 Wie **''no-auth''**, wenn in der Anfrage eine Rekursion verlangt wird (RD=1), oder dasselbe wie ''no'', wenn keine Rekursion verlangt wird. Wie **''no-auth''**, wenn in der Anfrage eine Rekursion verlangt wird (RD=1), oder dasselbe wie ''no'', wenn keine Rekursion verlangt wird.
  
-<code ini>+<code>
 # dig @127.0.0.1 rechner10.intra.tachtler.net +dnssec +multi # dig @127.0.0.1 rechner10.intra.tachtler.net +dnssec +multi
  
Zeile 2630: Zeile 2623:
  
 Nachfolgende Abfrage bringt den **DNSKEY** zum Vorschein: Nachfolgende Abfrage bringt den **DNSKEY** zum Vorschein:
-<code ini>+<code>
 # dig @127.0.0.1 +cd +multi intra.tachtler.net dnskey # dig @127.0.0.1 +cd +multi intra.tachtler.net dnskey
  
Zeile 2704: Zeile 2697:
          csk key-directory lifetime unlimited algorithm ecdsa256;          csk key-directory lifetime unlimited algorithm ecdsa256;
     };     };
-    nsec3param iterations optout false salt-length 16;+    nsec3param iterations optout no salt-length 0;
  
     // Key timings     // Key timings
Zeile 2727: Zeile 2720:
 **__Erklärungen__**: **__Erklärungen__**:
  
-  * <code ini>nsec3param iterations optout false salt-length 16;</code>+  * <code ini>nsec3param iterations optout no salt-length 0;</code>
  
 Dies ist die einzige Änderung bzw. Ergänzung zum **''dnssec-policy''** - **''"default"''**, die Ergänzung des ''nsec3param''. Die **Optionen** des ''nsec3param'' lauten wie folgt: Dies ist die einzige Änderung bzw. Ergänzung zum **''dnssec-policy''** - **''"default"''**, die Ergänzung des ''nsec3param''. Die **Optionen** des ''nsec3param'' lauten wie folgt:
Zeile 2733: Zeile 2726:
   * Anzeige der Ausgabe   * Anzeige der Ausgabe
   * "Salt" zur Zufallsgenerierung   * "Salt" zur Zufallsgenerierung
 +
 +:!: **HINWEIS** - **Nachfolgende Seiten geben über den aktuellen Stand der Benutzung von NSEC3 Auskunft:**
 +  * https://kb.isc.org/docs/dnssec-key-and-signing-policy
 +  * https://bind9.readthedocs.io/en/latest/dnssec-guide.html
 +  * https://www.rfc-editor.org/rfc/rfc9276.html
  
 ==== DNSSec CSK: /etc/named.conf ==== ==== DNSSec CSK: /etc/named.conf ====
Zeile 2745: Zeile 2743:
 Nachfolgende Anpassungen der Konfigurationsdatei ''/etc/named.conf'' müssen durchgeführt werden um DNSsec **__voll automatisiert__** durch den DNS-Server [[http://www.isc.org|ISC (Internet System Consortium)]] einzurichten. Nachfolgende Anpassungen der Konfigurationsdatei ''/etc/named.conf'' müssen durchgeführt werden um DNSsec **__voll automatisiert__** durch den DNS-Server [[http://www.isc.org|ISC (Internet System Consortium)]] einzurichten.
  
-Nachfolgende **drei** Konfigurationszeilen müssen bei der **__jeweiligen Zonen-Definition__** hinzugefügt werden:+Nachfolgende **zwei** Konfigurationszeilen müssen bei der **__jeweiligen Zonen-Definition__** hinzugefügt werden:
 <code> <code>
 ... ...
 +                inline-signing yes;
                 dnssec-policy defaultnsec3;                 dnssec-policy defaultnsec3;
 ... ...
 </code> </code>
 +
 +:!: **ACHTUNG** - **Falls ''inline-signing yes;'' __nicht__ gesetzt wird werden die Zonen-Dateien umgeschrieben!**
  
 :!: **HINWEIS** - Der DNS-Server [[http://www.isc.org|ISC (Internet System Consortium)]] wird nach den entsprechenden Schlüsseln unter dem angegeben Pfad selbständig suchen! :!: **HINWEIS** - Der DNS-Server [[http://www.isc.org|ISC (Internet System Consortium)]] wird nach den entsprechenden Schlüsseln unter dem angegeben Pfad selbständig suchen!
Zeile 2991: Zeile 2992:
  file "zones/intra.tachtler.net.zone";  file "zones/intra.tachtler.net.zone";
  dnssec-policy defaultnsec3;  dnssec-policy defaultnsec3;
-                key-directory "keys"; 
  };  };
  zone "0.168.192.in-addr.arpa" IN {  zone "0.168.192.in-addr.arpa" IN {
Zeile 2997: Zeile 2997:
  file "zones/0.168.192.in-addr.arpa.zone";  file "zones/0.168.192.in-addr.arpa.zone";
  dnssec-policy defaultnsec3;  dnssec-policy defaultnsec3;
-                key-directory "keys";+                inline-signing yes;
  };  };
  zone "tachtler.net" IN {  zone "tachtler.net" IN {
Zeile 3003: Zeile 3003:
  file "zones/tachtler.net.zone";  file "zones/tachtler.net.zone";
  dnssec-policy defaultnsec3;  dnssec-policy defaultnsec3;
-                key-directory "keys";+                inline-signing yes;
  };  };
  zone "167.171.217.88.in-addr.arpa" IN {  zone "167.171.217.88.in-addr.arpa" IN {
Zeile 3009: Zeile 3009:
  file "zones/167.171.217.88.in-addr.arpa.zone";  file "zones/167.171.217.88.in-addr.arpa.zone";
  dnssec-policy defaultnsec3;  dnssec-policy defaultnsec3;
-                key-directory "keys";+                inline-signing yes;
  };  };
 }; };
Zeile 3037: Zeile 3037:
  file "zones/tachtler.net.zone";  file "zones/tachtler.net.zone";
  dnssec-policy defaultnsec3;  dnssec-policy defaultnsec3;
-                key-directory "keys";+                inline-signing yes;
  };  };
  zone "167.171.217.88.in-addr.arpa" IN {  zone "167.171.217.88.in-addr.arpa" IN {
Zeile 3043: Zeile 3043:
  file "zones/167.171.217.88.in-addr.arpa.zone";  file "zones/167.171.217.88.in-addr.arpa.zone";
  dnssec-policy defaultnsec3;  dnssec-policy defaultnsec3;
-                key-directory "keys";+                inline-signing yes;
  };  };
 }; };
Zeile 3123: Zeile 3123:
 <code> <code>
 # dig @127.0.0.1 rechner10.intra.tachtler.net +dnssec +multi # dig @127.0.0.1 rechner10.intra.tachtler.net +dnssec +multi
 +
 +; <<>> DiG 9.18.3 <<>> @127.0.0.1 rechner10.intra.tachtler.net +dnssec +multi
 +; (1 server found)
 +;; global options: +cmd
 +;; Got answer:
 +;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26205
 +;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
 +
 +;; OPT PSEUDOSECTION:
 +; EDNS: version: 0, flags: do; udp: 1232
 +; COOKIE: c15dc5b0231f0a5d7f46930b62ac764403fd2807928addb2 (good)
 +;; QUESTION SECTION:
 +;rechner10.intra.tachtler.net. IN A
 +
 +;; ANSWER SECTION:
 +rechner10.intra.tachtler.net. 10800 IN A 192.168.0.10
 +rechner10.intra.tachtler.net. 10800 IN RRSIG A 13 4 10800 (
 + 20220626045317 20220617112758 42607 intra.tachtler.net.
 + q6rSagtdy9bb69ED/ngjyRVgf7mTwAKx6lzjUZ/QhtlB
 + fqAgkDgeV7I+K+4NfUW+Y+LAaSHNwAtPoLwqstLuoQ== )
 +
 +;; Query time: 0 msec
 +;; SERVER: 127.0.0.1#53(127.0.0.1) (UDP)
 +;; WHEN: Fri Jun 17 18:40:36 CEST 2022
 +;; MSG SIZE  rcvd: 215
 +
 </code> </code>
  
Zeile 3152: Zeile 3178:
 Wie **''no-auth''**, wenn in der Anfrage eine Rekursion verlangt wird (RD=1), oder dasselbe wie ''no'', wenn keine Rekursion verlangt wird. Wie **''no-auth''**, wenn in der Anfrage eine Rekursion verlangt wird (RD=1), oder dasselbe wie ''no'', wenn keine Rekursion verlangt wird.
  
-<code ini>+<code>
 # dig @127.0.0.1 rechner10.intra.tachtler.net +dnssec +multi # dig @127.0.0.1 rechner10.intra.tachtler.net +dnssec +multi
 +
 +; <<>> DiG 9.18.3 <<>> @127.0.0.1 rechner10.intra.tachtler.net +dnssec +multi
 +; (1 server found)
 +;; global options: +cmd
 +;; Got answer:
 +;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10575
 +;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 3
 +
 +;; OPT PSEUDOSECTION:
 +; EDNS: version: 0, flags: do; udp: 1232
 +; COOKIE: 6e4a0a4e229380d7c64f7fae62ac76e0189e8716e37022f0 (good)
 +;; QUESTION SECTION:
 +;rechner10.intra.tachtler.net. IN A
 +
 +;; ANSWER SECTION:
 +rechner10.intra.tachtler.net. 10800 IN A 192.168.0.10
 +rechner10.intra.tachtler.net. 10800 IN RRSIG A 13 4 10800 (
 + 20220626045317 20220617112758 42607 intra.tachtler.net.
 + q6rSagtdy9bb69ED/ngjyRVgf7mTwAKx6lzjUZ/QhtlB
 + fqAgkDgeV7I+K+4NfUW+Y+LAaSHNwAtPoLwqstLuoQ== )
 +
 +;; AUTHORITY SECTION:
 +intra.tachtler.net. 10800 IN NS ns1.intra.tachtler.net.
 +intra.tachtler.net. 10800 IN RRSIG NS 13 3 10800 (
 + 20220626045317 20220617112758 42607 intra.tachtler.net.
 + 7AzDTZE5JcJ+RCu6S8bq4OSuk4HEgdht5yM+0841oC+b
 + fOaZ8aVSVzG+Dmp744YsOJmFRSJ18HAGJmlGkJ/eww== )
 +
 +;; ADDITIONAL SECTION:
 +ns1.intra.tachtler.net. 10800 IN A 192.168.0.20
 +ns1.intra.tachtler.net. 10800 IN RRSIG A 13 4 10800 (
 + 20220626045317 20220617112758 42607 intra.tachtler.net.
 + 0dBJWwufYcPPMiphUhF3hOQxBRABxfuRpJtHMZMgftBp
 + 9+ucj7ksGtVguiekxPdvUy9ekxqKkN0QdDlh1IHb0A== )
 +
 +;; Query time: 10 msec
 +;; SERVER: 127.0.0.1#53(127.0.0.1) (UDP)
 +;; WHEN: Fri Jun 17 18:43:12 CEST 2022
 +;; MSG SIZE  rcvd: 477
 +
 </code> </code>
  
 Nachfolgende Abfrage bringt den **DNSKEY** zum Vorschein: Nachfolgende Abfrage bringt den **DNSKEY** zum Vorschein:
-<code ini>+<code>
 # dig @127.0.0.1 +cd +multi intra.tachtler.net dnskey # dig @127.0.0.1 +cd +multi intra.tachtler.net dnskey
 +
 +; <<>> DiG 9.18.3 <<>> @127.0.0.1 +cd +multi intra.tachtler.net dnskey
 +; (1 server found)
 +;; global options: +cmd
 +;; Got answer:
 +;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 59227
 +;; flags: qr aa rd ra cd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
 +
 +;; OPT PSEUDOSECTION:
 +; EDNS: version: 0, flags:; udp: 1232
 +; COOKIE: 159da8d05abb887dc1ed847562ac77046457c9a3b5751b4f (good)
 +;; QUESTION SECTION:
 +;intra.tachtler.net. IN DNSKEY
 +
 +;; ANSWER SECTION:
 +intra.tachtler.net. 3600 IN DNSKEY 257 3 13 (
 + cwuwXubEW8if4s/vo/2jdWhGolvHBVFr2i4fNkEHlyx6
 + dObg3GD3KN+KQLkRQE5QMxcP86il8GWWGeEYIv1lfw==
 + ) ; KSK; alg = ECDSAP256SHA256 ; key id = 42607
 +
 +;; Query time: 0 msec
 +;; SERVER: 127.0.0.1#53(127.0.0.1) (UDP)
 +;; WHEN: Fri Jun 17 14:43:48 CEST 2022
 +;; MSG SIZE  rcvd: 155
 +
 +
 </code> </code>
  
tachtler/dns_isc_bind_archlinux.1655469603.txt.gz · Zuletzt geändert: 2022/06/17 14:40 von klaus