Assinatura automática e manipulação de arquivos DNSSEC

Navegue suas respostas
2

Gostaria de saber como os arquivos são manipulados em um ambiente auto-dnssec .

Minha configuração atual (não-DNSSEC) coloca os arquivos de zonas em /var/named/data . Esses arquivos são então lidos pelo servidor de ligação.

Se eu ativar a assinatura automática, os arquivos de zonas serão alterados? Ou vai ligar apenas manter as zonas assinadas internamente? Se a primeira coisa acontecer, o Puppet pode não ser uma boa ideia implantar mais zonas dns.

    
por Karlo 17.02.2014 / 17:02

2 respostas

3

EDITAR: A versão anterior desta resposta estava incorreta.

If I enable auto-signing, will the zones files change?

Sim . O BIND atualizará o arquivo que você especificar no estilo de configuração "dinâmico". Isso significa que o arquivo inteiro geralmente é reescrito, perdendo as diretivas "$ INCLUDE", convertendo para formatação "padrão", etc.

Com a assinatura manual de arquivos, os arquivos de zona originais não são alterados. Você não pode usar as Atualizações dinâmicas com arquivos assinados manualmente, portanto, há uma compensação. Geralmente, você mantém o arquivo de zona original manualmente e usa assinatura manual ou usa o nsupdate para manter o arquivo original e permite que o BIND assine automaticamente a zona. Nota: por último, eu vi que o BIND não podia gerar automaticamente as chaves ZSK, então você ainda precisa rotacioná-las manualmente (ou roteirizar o processo).

    
por 17.02.2014 / 18:04
1

Você faz o último (tendo o BIND mantendo as zonas assinadas separadas das zonas não assinadas editadas e também as atualizando quando edita seus arquivos) usando o recurso inline-signing adicionado em BIND9.9.

Atualmente, está documentado apenas em link

    
por 16.07.2014 / 21:14

Tags

Como posso determinar a porta do PostgreSQL sem raiz e fazer com que ela ouça uma porta? Encaminhamento de caixa de correio do Exchange 2013 embora esteja desativado