Fórum Root.cz

Hlavní témata => Server => Téma založeno: Aleš Rygl 31. 10. 2017, 11:02:49

Název: Debian Stretch, Bind9 a automaticky DNSSEC - editace zony
Přispěvatel: Aleš Rygl 31. 10. 2017, 11:02:49

Dobry den.
Nemate nekdo zkusenosti s automatickym DNSSEC v Bind9? DNSSEC mi funguje, po zavedeni zony, vygenerovani klicu se zona podepise. S kazdym dalsim podpisem se automaticky zvetsi serial, udela IXFR. Potud ok.

Konfigurace zony:

Kód: [Vybrat]

zone "mojezona.cz"
    { type master;
        file "master/db.mojezona.cz";
        key-directory "/var/cache/keys";
        inline-signing yes ;
        auto-dnssec maintain;
        update-policy local;
        serial-update-method unixtime;
};

Podle toho, co se pise na https://kb.isc.org/article/AA-00626/0/Inline-Signing-in-ISC-BIND-9.9.0-Examples.html
 (https://kb.isc.org/article/AA-00626/0/Inline-Signing-in-ISC-BIND-9.9.0-Examples.html) by si mel Bind9 trackovat nepodepsany zonovy soubor a v pripade, ze je v nem serial vetsi, nez je aktualni, pouzit ten a zvetsit jej. A doufal jsem, ze i pouzit tento zonovy soubor pro podpis. Bohuzel Bind9 zmeny v nepodepsanem souboru zcela ignoruje. Znamena to, ze je jedina moznost editace takove zony je pres utilitu nsupdate?

Diky.

A.

Název: Re:Debian Stretch, Bind9 a automaticky DNSSEC - editace zony
Přispěvatel: Ondřej Caletka 31. 10. 2017, 12:31:20

Chová se to stejně jako bez DNSSECu, to jest po změně zónového souboru je třeba zavolat příkaz rndc reload který načte novou verzi zónového souboru.

Podrobněji v článku: https://www.root.cz/clanky/dnssec-s-bind-9-9-snadno-a-rychle/

Název: Re:Debian Stretch, Bind9 a automaticky DNSSEC - editace zony
Přispěvatel: Aleš Rygl 31. 10. 2017, 12:54:20

To prave nefunguje:

Kód: [Vybrat]

31-Oct-2017 11:40:21.075 general: info: reloading configuration succeeded
31-Oct-2017 11:40:21.075 general: info: zone mojezona.cz/IN (signed): reconfiguring zone keys
31-Oct-2017 11:40:21.076 general: info: zone mojezona.cz/IN (signed): next key event: 31-Oct-2017 12:40:21.075
31-Oct-2017 11:40:21.078 general: info: reloading zones succeeded

Zona samotna take reloadnout nejde:

Kód: [Vybrat]

# rndc reload mojezona.cz
rndc: 'reload' failed: dynamic zone

V nepodepsane zone je serial 1509443810 a zona ma aktualne 1509443805. Nefunguje to, ani kdyz ma zona v souboru serial (unixtime) z budoucnosti. rndc sign zonu podepise, serial nastavi dle unixtime, ale nove zaznamy neprevezme.

Název: Re:Debian Stretch, Bind9 a automaticky DNSSEC - editace zony
Přispěvatel: Tomas V 31. 10. 2017, 16:00:22

Zkuste

- rndc freeze mojezona.cz
- rndc sync
- upravit zonu a zvednout serial
- rndc reload
- rndc thaw mojezona.cz

Název: Re:Debian Stretch, Bind9 a automaticky DNSSEC - editace zony
Přispěvatel: Aleš Rygl 31. 10. 2017, 16:57:34

Diky! Tohle zafungovalo. Bohuzel jsem tento postup nikde nedohledal a v dokumentaci jsem take zadnou zminku nenasel. Jeste jednou dekuji.
A.

Název: Re:Debian Stretch, Bind9 a automaticky DNSSEC - editace zony
Přispěvatel: Ondřej Caletka 01. 11. 2017, 15:16:34

Citace: Aleš Rygl  31. 10. 2017, 12:54:20

Zona samotna take reloadnout nejde:

Kód: [Vybrat]

# rndc reload mojezona.cz
rndc: 'reload' failed: dynamic zone


Aha, vy tu zónu máte v dynamickém režimu. To jste asi nechtěl. Když vyhodíte z konfigurace update-policy, bude se to chovat jako klasický statický zónový soubor a reload bude normálně fungovat.

Příkazy rndc freeze a rndc thaw slouží pro dočasné zastavení dynamických aktualizací v momentě, kdy chcete soubor editovat ručně. Pokud dynamické aktualizace vůbec nehodláte používat, je asi zbytečné si to s nimi komplikovat.