Vypsání DNSSEC klíčů

Vypsání DNSSEC klíčů
« kdy: 28. 03. 2022, 11:41:28 »
Jake kroky musim provest (UBuntu LTS) aby tento prikaz

`dig DNSKEY com. +host`
vypsal to same jako zde:


 
« Poslední změna: 28. 03. 2022, 11:56:03 od Petr Krčmář »


Re:Vypsání DNSSEC klíčů
« Odpověď #1 kdy: 28. 03. 2022, 11:57:42 »
Stačí ten příkaz zapsat správně, tedy ne +host, ale +short. Pak to samozřejmě vypisuje totéž. Utilita dig se nachází v balíčku bind9-utils, který je potřeba mít nainstalovaný.

Můj výstup:

Kód: [Vybrat]
$ dig DNSKEY com. +short

257 3 8 AQPDzldNmMvZFX4NcNJ0uEnKDg7tmv/F3MyQR0lpBmVcNcsIszxNFxsB fKNW9JYCYqpik8366LE7VbIcNRzfp2h9OO8HRl+H+E08zauK8k7evWEm u/6od+2boggPoiEfGNyvNPaSI7FOIroDsnw/taggzHRX1Z7SOiOiPWPN IwSUyWOZ79VmcQ1GLkC6NlYvG3HwYmynQv6oFwGv/KELSw7ZSdrbTQ0H XvZbqMUI7BaMskmvgm1G7oKZ1YiF7O9ioVNc0+7ASbqmZN7Z98EGU/Qh 2K/BgUe8Hs0XVcdPKrtyYnoQHd2ynKPcMMlTEih2/2HDHjRPJ2aywIpK Nnv4oPo/
256 3 8 AwEAAb8sMjkmcHNQ03B/UmyTDLPgA2uSzLck0RXejghxWxeqj2+VTxy8 MQOQ6WdXa/SaJgI2q7yC1bkabxklnnU0G9/uwomH+kCRqI0pbLTECzDQ v/uiqIyWX44hkRNk1GRBMnhRGD0A64mhFu60gIsdygB/rrxrM9KJwcd0 R9i0G27SxEtdCgVGQWkFxfuvSvPJJ4F9CPoife5kZtt9UjXyJtU=

Re:Vypsání DNSSEC klíčů
« Odpověď #2 kdy: 28. 03. 2022, 15:07:32 »
Neco mam spatne, porad to nic nevypisuje, kde je chyba ??
« Poslední změna: 28. 03. 2022, 15:12:33 od JanPax »

Re:Vypsání DNSSEC klíčů
« Odpověď #3 kdy: 28. 03. 2022, 19:41:10 »
Co trochu snahy
Kód: [Vybrat]
dig DNSKEY com. +short +trace

Re:Vypsání DNSSEC klíčů
« Odpověď #4 kdy: 28. 03. 2022, 20:26:21 »
Neco mam spatne, porad to nic nevypisuje, kde je chyba ??
Nejspíš místní DNS resolver DNSSEC ignoruje a dotazy na záznamy typu DNSKEY zřejmě končí chybou. To by se ukázalo, kdybys ukázal celý výstup příkazu dig bez +short.

Řešením je zeptat se nějakého jiného DNS resolveru, takového, který DNSSECu rozumí. To se dělá pomocí @, takže třeba
Kód: [Vybrat]
dig com. dnskey @one.one.one.one


Re:Vypsání DNSSEC klíčů
« Odpověď #5 kdy: 29. 03. 2022, 06:59:36 »
Rady byly uzitecne uz to jde.
Co znamena "com."
a co dela
one.one.one.one
v
dig com. dnskey @one.one.one.one
?
Zkousel jsem
dig com. dnskey @eight.eight.eight.eight,
ale to nefunguje.

Re:Vypsání DNSSEC klíčů
« Odpověď #6 kdy: 29. 03. 2022, 09:32:46 »
Dokumentaci k příkazu kdykoliv najdete tak, že do řádky zadáte třeba

Kód: [Vybrat]
$ man dig
Část com. je doména, na kterou se ptáte. V tomto případě je to doména nejvyššího řádu com. Za zavináč je možné uvést server, kterého se utilita bude ptát. Pokud není uveden, ptá se místního serveru.

one.one.one.one je normální doména, můžete si ji zkusit otevřít v prohlížeči, běží na ní i web.

Re:Vypsání DNSSEC klíčů
« Odpověď #7 kdy: 30. 03. 2022, 10:34:34 »
Pokud vím, systemd-resolved tohle dělá, protože je názoru, že jeho klientům dnssec k ničemu není.

EDIT: možná jsem to popletl a je to trochu jinak.  Nejspíš jsem si vybavoval https://github.com/systemd/systemd/issues/4621
« Poslední změna: 30. 03. 2022, 10:38:39 od vcunat »