Maneira correta de recarregar a região master no bind9 fazendo a assinatura inline

2

Eu tenho um mestre BIND9 (v9.10.3) servindo adequadamente várias zonas assinadas (verificadas com dnsviz, etc.)

Não consegui encontrar em qualquer documentação uma maneira correta de recarregar e renunciar a um arquivo de zona estática. (minhas zonas não são dinâmicas). Para que as zonas atualizadas sejam exibidas de forma confiável, tive que parar a ligação, excluir os arquivos .signed, .signed.jnl e .jbk, atualizar / substituir o arquivo mestre da zona e, em seguida, reiniciar. Não é bom, mas nada mais tentei funcionou.

Posso atualizar o mestre da zona e executar o comando (qual?) rndc para recarregar e renunciar a zona? E haveria um atraso nos resultados dessa operação?

Existe algum administrador on-line do DNSSEC BIND que você achou útil? Eu tenho um bom número marcado, mas nenhum parecia abordar essa operação básica, senão perdi. Obrigado!

    
por brett 09.07.2017 / 22:36

2 respostas

0

O Manual de Referência do Administrador do ISC BIND9 tem extensa documentação sobre DNSSEC , rndc e auto-dnssec (o recurso específico que você está procurando).

    
por 09.07.2017 / 22:43
0

Ao atualizar o arquivo de zona não assinado, certifique-se de aumentar o número de série. Dependendo da sua configuração (ou seja, se usar serial-update-method ), o BIND gera novas séries no seu, por exemplo, ao adicionar RRs NSEC3. Então, pode não ser suficiente apenas aumentar o serial em um, no entanto, você pode procurá-lo facilmente usando dig:

dig @localhost example.com SOA

Após atualizar seu arquivo de zona, emita um recarregamento:

rndc reload

Editar:

Para zonas dinâmicas, emita um

rndc freeze

antes de editar o arquivo de zona não assinado e continuar aceitando atualizações dinâmicas depois:

rndc thaw
    
por 27.01.2018 / 21:21

Tags