tachtler:dns_unbound_archlinux
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
tachtler:dns_unbound_archlinux [2021/11/30 16:09] – [/etc/unbound/unbound.conf] klaus | tachtler:dns_unbound_archlinux [2022/03/31 05:32] (aktuell) – [Installation] klaus | ||
---|---|---|---|
Zeile 95: | Zeile 95: | ||
Mit nachfolgendem Befehl, wird das Pakete **'' | Mit nachfolgendem Befehl, wird das Pakete **'' | ||
+ | < | ||
+ | # pacman --noconfirm -S unbound | ||
+ | </ | ||
+ | ++++ Installationsverlauf | | ||
< | < | ||
# pacman --noconfirm -S unbound | # pacman --noconfirm -S unbound | ||
Zeile 155: | Zeile 159: | ||
==> root: 11 | ==> root: 11 | ||
</ | </ | ||
+ | ++++ | ||
Mit nachfolgendem Befehl kann überprüft werden, welche Inhalte mit den Paket **'' | Mit nachfolgendem Befehl kann überprüft werden, welche Inhalte mit den Paket **'' | ||
+ | < | ||
+ | # pacman -Qil unbound | ||
+ | </ | ||
+ | ++++ Installierte Dateien | | ||
< | < | ||
# pacman -Qil unbound | # pacman -Qil unbound | ||
Zeile 266: | Zeile 275: | ||
unbound / | unbound / | ||
</ | </ | ||
+ | ++++ | ||
===== Dienst/ | ===== Dienst/ | ||
Zeile 667: | Zeile 677: | ||
</ | </ | ||
+ | |||
+ | ==== remote-control ==== | ||
+ | |||
+ | Es kann eine Kontrolle über den [[http:// | ||
+ | * '' | ||
+ | die erforderlichen TLS-Schlüsseldateien automatisch im Standardinstallationsverzeichnis | ||
+ | * ''/ | ||
+ | zu erzeugen, wie nachfolgend dargestellt: | ||
+ | < | ||
+ | # unbound-control-setup | ||
+ | setup in directory / | ||
+ | Generating RSA private key, 3072 bit long modulus (2 primes) | ||
+ | ..........................++++ | ||
+ | ........++++ | ||
+ | e is 65537 (0x010001) | ||
+ | Generating RSA private key, 3072 bit long modulus (2 primes) | ||
+ | .....................................................................................................++++ | ||
+ | ....................++++ | ||
+ | e is 65537 (0x010001) | ||
+ | Signature ok | ||
+ | subject=CN = unbound-control | ||
+ | Getting CA Private Key | ||
+ | removing artifacts | ||
+ | Setup success. Certificates created. Enable in unbound.conf file to use | ||
+ | </ | ||
+ | |||
+ | Eine Überprüfung, | ||
+ | < | ||
+ | # ls -l / | ||
+ | -rw------- 1 root root 2455 Dec 11 08:33 / | ||
+ | -rw-r----- 1 root root 1411 Dec 11 08:33 / | ||
+ | -rw------- 1 root root 2459 Dec 11 08:33 / | ||
+ | -rw-r----- 1 root root 1549 Dec 11 08:33 / | ||
+ | </ | ||
+ | |||
+ | Eine Beschreibung der möglichen Aktionen, welche mittels dem Befehl '' | ||
+ | |||
+ | Nachfolgend eine Beispiel, wenn die Konfiguration in ''/ | ||
+ | < | ||
+ | # unbound-control status | ||
+ | version: 1.13.2 | ||
+ | verbosity: 1 | ||
+ | threads: 1 | ||
+ | modules: 3 [ subnetcache validator iterator ] | ||
+ | uptime: 6 seconds | ||
+ | options: reuseport control(ssl) | ||
+ | unbound (pid 36998) is running... | ||
+ | </ | ||
+ | |||
+ | :!: **HINWEIS** - **Standardmäßig ist der '' | ||
==== / | ==== / | ||
Zeile 820: | Zeile 880: | ||
;; MSG SIZE rcvd: 113 | ;; MSG SIZE rcvd: 113 | ||
</ | </ | ||
+ | |||
+ | * <code ini> | ||
+ | control-enable: | ||
+ | server-key-file: | ||
+ | server-cert-file: | ||
+ | control-key-file: | ||
+ | control-cert-file: | ||
+ | |||
+ | Eine Kontrolle über den Befehl '' | ||
* <code ini> | * <code ini> | ||
Zeile 877: | Zeile 946: | ||
dynlib: | dynlib: | ||
remote-control: | remote-control: | ||
+ | control-enable: | ||
+ | server-key-file: | ||
+ | server-cert-file: | ||
+ | control-key-file: | ||
+ | control-cert-file: | ||
forward-zone: | forward-zone: | ||
name: " | name: " | ||
Zeile 894: | Zeile 968: | ||
</ | </ | ||
- | ==== Konfigurationsdatei Überprüfung ==== | + | ===== Konfigurationsdatei Überprüfung |
Mit nachfolgendem Befehl kann die **syntaktische Richtigkeit** der Konfigurationsdatei: | Mit nachfolgendem Befehl kann die **syntaktische Richtigkeit** der Konfigurationsdatei: | ||
Zeile 915: | Zeile 989: | ||
# systemctl status unbound.service | # systemctl status unbound.service | ||
● unbound.service - Validating, recursive, and caching DNS resolver | ● unbound.service - Validating, recursive, and caching DNS resolver | ||
- | | + | |
| | ||
Docs: man: | Docs: man: | ||
Zeile 925: | Zeile 999: | ||
| | ||
- | Nov 30 16:08:17 vml020 systemd[1]: Starting Validating, recursive, and caching | + | Nov 30 16:08:17 vml020 systemd[1]: Starting Validating, recursive, and caching |
- | Nov 30 16:08:17 vml020 unbound[44109]: | + | Nov 30 16:08:17 vml020 unbound[44109]: |
- | Nov 30 16:08:17 vml020 unbound[44109]: | + | Nov 30 16:08:17 vml020 unbound[44109]: |
- | Nov 30 16:08:17 vml020 unbound[44109]: | + | Nov 30 16:08:17 vml020 unbound[44109]: |
Nov 30 16:08:17 vml020 unbound[44109]: | Nov 30 16:08:17 vml020 unbound[44109]: | ||
- | Nov 30 16:08:17 vml020 unbound[44109]: | + | Nov 30 16:08:17 vml020 unbound[44109]: |
- | Nov 30 16:08:17 vml020 systemd[1]: Started Validating, recursive, and caching | + | Nov 30 16:08:17 vml020 systemd[1]: Started Validating, recursive, and caching |
</ | </ | ||
===== Überprüfung ===== | ===== Überprüfung ===== | ||
- | FIXME - Hier geht es weiter... / To be continued... | + | Ziel ist es eine **lokale Antwort -->** |
+ | * **'' | ||
+ | zu erhalten, welche via | ||
+ | - **DNSSec** abgesichert ist **__und__** | ||
+ | - bei der die **(DNS) Chain-of-Trust (Vertrauenskette)** | ||
+ | im **lokalen Netzwerk** überprüfbar ist, was durch | ||
+ | * das **'' | ||
+ | in der Antwort bestätigt wird. | ||
+ | |||
+ | (**__Siehe nachfolgendes Beispiel__**) | ||
+ | < | ||
+ | # dig @192.168.0.20 rechner10.intra.tachtler.net +dnssec +multi | ||
+ | |||
+ | ; <<>> | ||
+ | ; (1 server found) | ||
+ | ;; global options: +cmd | ||
+ | ;; Got answer: | ||
+ | ;; ->> | ||
+ | ;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 | ||
+ | |||
+ | ;; OPT PSEUDOSECTION: | ||
+ | ; EDNS: version: 0, flags: do; udp: 1232 | ||
+ | ;; QUESTION SECTION: | ||
+ | ; | ||
+ | |||
+ | ;; ANSWER SECTION: | ||
+ | rechner10.intra.tachtler.net. 10800 IN A 192.168.0.10 | ||
+ | rechner10.intra.tachtler.net. 10800 IN RRSIG A 15 4 10800 ( | ||
+ | 20211217203021 20211130133211 10887 intra.tachtler.net. | ||
+ | Ds49XZOZ1p87ygjVtBYPk5qZED3MmbVybLoKIc8o4KPW | ||
+ | P4xhS3R1Z9rAWBjHMi2XGxqIn7BB403SUh1quM03CA== ) | ||
+ | |||
+ | ;; Query time: 20 msec | ||
+ | ;; SERVER: 192.168.0.20# | ||
+ | ;; WHEN: Tue Nov 30 16:11:49 CET 2021 | ||
+ | ;; MSG SIZE rcvd: 187 | ||
+ | </ | ||
+ | |||
+ | :!: **HINWEIS** - **Nachfolgend muss das '' | ||
+ | * '';; | ||
tachtler/dns_unbound_archlinux.1638284957.txt.gz · Zuletzt geändert: 2021/11/30 16:09 von klaus