Como configuro meu servidor de nomes de armazenamento em cache para validar o DNSSEC?

Navegue suas respostas
6

Como a raiz da árvore de DNS foi assinado , como altero meu servidor DNS de armazenamento em cache para iniciar a validação de assinaturas DNSSEC ?

    
por Kees Cook 01.07.2011 / 09:35

2 respostas

5

Instale e configure seu servidor de nomes ( bind9 package) normalmente e adicione a seguinte sub-rotina a /etc/bind/named.conf.options : 

managed-keys {
  "." initial-key 257 3 8
    "AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF
     FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX
     bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD
     X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz
     W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS
     Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq
     QxA+Uk1ihz0=";
};

Em seguida, reinicie o serviço ( sudo service bind9 restart ).

Para garantir que está funcionando, tente resolver " www.dnssec-failed.org ", ele deve falhar: 

$ host www.dnssec-failed.org
Host www.dnssec-failed.org not found: 3(NXDOMAIN)

Se der um endereço IP, a validação do DNSSEC não está funcionando.

    
por Kees Cook 01.07.2011 / 09:39
2

Você tem a escolha de pelo menos dois servidores de nomes de cache possíveis: bind9 e unbound .

Instruções sobre como configurar e testar cada um deles com a chave raiz atual ( criado pela primeira vez em julho de 2010) está no wiki do Debian:

Você deve ter o cuidado de validar a chave real adicionada à configuração e não, por exemplo, confie no que você pode encontrar em um site que não use SSL (https) ou que não tenha gerenciamento seguro de seu conteúdo. Por exemplo. postar a chave real aqui provavelmente não é sábio, e pode mudar ao longo do tempo, de qualquer forma. O conselho no site não vinculado para "unbound-anchor" parece bom, e quando esse comando está disponível com segurança como parte de uma versão do Ubuntu, parece que será uma boa opção. Parece que isso foi ativado desde a versão não vinculada 1.4.9-1 e atualmente faz parte da versão Oneric. Veja mais em o bug da Debian # 594911 .

Para o bind9, siga o Bug # 782614 no bind9 (Ubuntu): “facilite a configuração da validação do DNSSEC ” para o progresso em tornar este processo mais fácil. Parece fazer sentido realmente incluir a chave atual como parte do pacote Ubuntu do bind9, ou adicionar algum tipo de mecanismo de atualização como âncora não acoplada, para a conveniência e proteção dos usuários.

    
por nealmcb 05.08.2011 / 01:03

Tags

Como o RAID do btrfs funciona no modo degradado? “Ignorando /etc/texmf/texmf.d/*.cnf durante a geração de texmf.cnf” ao instalar tex-common