Назад | Перейти на главную страницу

Как мне защитить зону с помощью службы DLV dlv.isc.org?

Я настраиваю проверку домена. Думаю, я в основном все понял правильно. Я следовал инструкциям здесь: https://dlv.isc.org/about/using. Я зарегистрировал свой домен и загрузил ключ подписи ключа, подписал свою зону с помощью -l dlv.isc.org вариант, добавил dlv.isc.org в качестве внешнего сервера имен для моего домена в файлы зоны. имя терпит неудачу молча. Я даже изменился /dev/null к /var/log/named.log выжать некоторую информацию из named. Я проверил, были ли внесены изменения, но ничего не вышло. Не знаю, что проверить или попробовать.

Я задаю 2 вопроса:

  1. Стратегии получения информации из named, когда он терпит неудачу, молча, как это делает
  2. Конфигурация правильная. Мое ограниченное понимание DNS и DNSSEC говорит мне, что это должно работать

вперед файл:

$TTL 3600;

@ IN SOA ns1.sub.db.archives.net. dlv.isc.org. (
2014112100  ; serial
4h      ; refresh
1h      ; retry
7d      ; expiration
1h      ; minimum
)
$INCLUDE Ksub.db.archives.net.+008+07374.key
$INCLUDE Ksub.db.archives.net.+008+24586.key

        IN  NS  ns1.sub.db.archives.net.
        IN  NS  ns1.db.archives.net.
        IN  NS  dlv.isc.org.

dlv.isc.org.    IN  A   149.20.1.5
ns1.db.archives.net.    IN  A   10.103.35.66
ns1     IN  A   10.103.35.64
luke        IN  A   10.103.35.64
bo      IN  A   10.103.35.65
daisy       IN  A   10.103.35.66
sheriff     IN  A   10.103.35.67
boss        IN  A   10.103.35.68
dlv.sub.db.archives.net. 0 IN TXT "DLV:1:blablabla"

dlv.isc.org. IN DNSKEY 257 3 5 BEAAAAPHMu ...TDN0YUuWrBNh

обратный файл:

$TTL 3600

@ IN SOA ns1.sub.db.archives.net. dlv.isc.org. (
2014112100  ; serial #
4h              ; refresh
1h              ; retry
7d              ; expiration
1h              ; minimum
)

                IN      NS  ns1.sub.db.archives.net.
                IN      NS  ns1.db.archives.net.
        IN  NS  dlv.isc.org.

5.1.20.149  IN  PTR dlv.isc.org.
66.35.103.10    IN  PTR ns1.db.archives.net.
64  IN  PTR ns1.sub.db.archives.net.
64  IN  PTR luke.sub.db.archives.net.
65  IN  PTR bo.sub.db.archives.net.
66  IN  PTR daisy.sub.db.archives.net.
67  IN  PTR sheriff.sub.db.archives.net.
68  IN  PTR boss.sub.db.archives.net.

команда dnssec-signzone:

dnssec-signzone -l dlv.isc.org -o sub.db.archives.net -k Ksub.db.archives.net.+008+24586.key sub.db.archives.net.fwd Ksub.db.archives.net.+008+07374.key

по имени:

[root@test master]# service named start
Starting named:                                            [FAILED]

Настоящий file not found Ошибки кажутся довольно очевидными (я полагаю, таких файлов не существует?).

Тем не мение, DS записи живут в родительской зоне, альтернативно DLV записи живут на сервере DLV.

Это означает, что ваш шаг 4 не существует (согласно руководству, которое вы связали).

Неужели вы действительно не можете вместо этого перенести записи DS в родительскую зону? DLV изначально был временной мерой и не должен быть первым выбором.

Также см Встроенная подпись (и поддержка автоматического DNS), это, как правило, лучший вариант для подписи зоны и управления ключами по сравнению с вызовом dnssec-signzone вручную.

  1. Стратегии понять, почему named не запускается:
    • Проверьте named-checkconf -zj вывод. (named-checkconf так же как named-checkzone вероятно, должно быть частью вашего обычного рабочего процесса, а не только для устранения неполадок)
    • Проверить журналы. (named по умолчанию записывает в системный журнал, см. named.conf для любой конфигурации ведения журнала, которая может переопределить это)
    • Если ничего из вышеперечисленного не помогает (маловероятно), есть также возможность проверить, какие параметры у вас обычно есть в вашем named командную строку и запустите ее вручную с помощью -g добавлен к вашему обычному набору параметров (это заставляет named чтобы оставаться на переднем плане и входить в stderr).


  1. Существует множество очевидных проблем с данными зоны, включенными в вопрос, которые никоим образом не относятся к DNSSEC или DLV. Честно говоря, я бы порекомендовал вам в качестве первого шага ознакомиться с основами DNS.
    Некоторые проблемы, которые я обнаружил, были следующими, пожалуйста, обратитесь к журналам и / или named-check{conf,zone}} вывод тоже.

    • В SOA записи имеют очень маловероятные значения RNAME (dlv@isc.org)
    • dlv.isc.org указан как сервер имен, но я очень сомневаюсь, что он обслуживает ваши зоны.
    • dlv.isc.org. IN A ... не похоже, что он принадлежит этой зоне.
    • ns1.db.archives.net. IN A ... не похоже, что он принадлежит этой зоне.
    • dlv.isc.org. IN DNSKEY ... не похоже, что он принадлежит этой зоне.
    • 5.1.20.149 IN PTR dlv.isc.org. - Игнорируя, что это написано неправильно, это еще одна запись, которой не принадлежит.
    • 66.35.103.10 IN PTR ns1.db.archives.net. вероятно принадлежит, но написано неправильно.


(У меня сложилось впечатление, что эти две зоны sub.db.archives.net и 35.103.10.in-addr.arpa, на чем я основал утверждения вне зоны. Просмотр фактической конфигурации в дополнение к данным зоны подтвердит это.)