Fórum Root.cz

Hlavní témata => Distribuce => Téma založeno: JanPax 28. 03. 2022, 11:41:28

Název: Vypsání DNSSEC klíčů
Přispěvatel: JanPax 28. 03. 2022, 11:41:28

Jake kroky musim provest (UBuntu LTS) aby tento prikaz

`dig DNSKEY com. +host`
vypsal to same jako zde:


 
 (https://www.digitalocean.com/community/tutorials/how-to-set-up-dnssec-on-an-nsd-nameserver-on-ubuntu-14-04?fbclid=IwAR3J7d9meSBnYyMM7on11jB_9mZeZmMOkWrFNL1m89Ttzwr64-BL932lcSk[url)

Název: Re:Vypsání DNSSEC klíčů
Přispěvatel: Petr Krčmář 28. 03. 2022, 11:57:42

Stačí ten příkaz zapsat správně, tedy ne +host, ale +short. Pak to samozřejmě vypisuje totéž. Utilita dig se nachází v balíčku bind9-utils, který je potřeba mít nainstalovaný.

Můj výstup:

Kód: [Vybrat]

$ dig DNSKEY com. +short

257 3 8 AQPDzldNmMvZFX4NcNJ0uEnKDg7tmv/F3MyQR0lpBmVcNcsIszxNFxsB fKNW9JYCYqpik8366LE7VbIcNRzfp2h9OO8HRl+H+E08zauK8k7evWEm u/6od+2boggPoiEfGNyvNPaSI7FOIroDsnw/taggzHRX1Z7SOiOiPWPN IwSUyWOZ79VmcQ1GLkC6NlYvG3HwYmynQv6oFwGv/KELSw7ZSdrbTQ0H XvZbqMUI7BaMskmvgm1G7oKZ1YiF7O9ioVNc0+7ASbqmZN7Z98EGU/Qh 2K/BgUe8Hs0XVcdPKrtyYnoQHd2ynKPcMMlTEih2/2HDHjRPJ2aywIpK Nnv4oPo/
256 3 8 AwEAAb8sMjkmcHNQ03B/UmyTDLPgA2uSzLck0RXejghxWxeqj2+VTxy8 MQOQ6WdXa/SaJgI2q7yC1bkabxklnnU0G9/uwomH+kCRqI0pbLTECzDQ v/uiqIyWX44hkRNk1GRBMnhRGD0A64mhFu60gIsdygB/rrxrM9KJwcd0 R9i0G27SxEtdCgVGQWkFxfuvSvPJJ4F9CPoife5kZtt9UjXyJtU=


Název: Re:Vypsání DNSSEC klíčů
Přispěvatel: JanPax 28. 03. 2022, 15:07:32

Neco mam spatne, porad to nic nevypisuje, kde je chyba ??

Název: Re:Vypsání DNSSEC klíčů
Přispěvatel: Foreigner 28. 03. 2022, 19:41:10

Co trochu snahy

Kód: [Vybrat]

dig DNSKEY com. +short +trace

Název: Re:Vypsání DNSSEC klíčů
Přispěvatel: Ondřej Caletka 28. 03. 2022, 20:26:21

Citace: JanPax  28. 03. 2022, 15:07:32

Neco mam spatne, porad to nic nevypisuje, kde je chyba ??

Nejspíš místní DNS resolver DNSSEC ignoruje a dotazy na záznamy typu DNSKEY zřejmě končí chybou. To by se ukázalo, kdybys ukázal celý výstup příkazu dig bez +short.

Řešením je zeptat se nějakého jiného DNS resolveru, takového, který DNSSECu rozumí. To se dělá pomocí @, takže třeba

Kód: [Vybrat]

dig com. dnskey @one.one.one.one

Název: Re:Vypsání DNSSEC klíčů
Přispěvatel: JanPax 29. 03. 2022, 06:59:36

Rady byly uzitecne uz to jde.
Co znamena "com."
a co dela
one.one.one.one
v
dig com. dnskey @one.one.one.one
?
Zkousel jsem
dig com. dnskey @eight.eight.eight.eight,
ale to nefunguje.

Název: Re:Vypsání DNSSEC klíčů
Přispěvatel: Petr Krčmář 29. 03. 2022, 09:32:46

Dokumentaci k příkazu kdykoliv najdete tak, že do řádky zadáte třeba

Kód: [Vybrat]

$ man dig
Část com. je doména, na kterou se ptáte. V tomto případě je to doména nejvyššího řádu com. Za zavináč je možné uvést server, kterého se utilita bude ptát. Pokud není uveden, ptá se místního serveru.

one.one.one.one je normální doména, můžete si ji zkusit otevřít v prohlížeči, běží na ní i web.

Název: Re:Vypsání DNSSEC klíčů
Přispěvatel: vcunat 30. 03. 2022, 10:34:34

Pokud vím, systemd-resolved tohle dělá, protože je názoru, že jeho klientům dnssec k ničemu není.

EDIT: možná jsem to popletl a je to trochu jinak.  Nejspíš jsem si vybavoval https://github.com/systemd/systemd/issues/4621