tachtler:dns_isc_bind_archlinux
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
tachtler:dns_isc_bind_archlinux [2022/06/17 14:25] – [DNSSec: Überprüfung] klaus | tachtler:dns_isc_bind_archlinux [2023/08/09 12:58] (aktuell) – [Vorbereitung: CSK] klaus | ||
---|---|---|---|
Zeile 2169: | Zeile 2169: | ||
</ | </ | ||
- | ==== DNSSec | + | ==== DNSSec KSK und ZSK: / |
Es gibt die Möglichkeit den DNS-Server [[http:// | Es gibt die Möglichkeit den DNS-Server [[http:// | ||
Zeile 2185: | Zeile 2185: | ||
Nachfolgende Anpassungen der Konfigurationsdatei ''/ | Nachfolgende Anpassungen der Konfigurationsdatei ''/ | ||
- | Nachfolgende **drei** Konfigurationszeilen müssen bei der **__jeweiligen Zonen-Definition__** hinzugefügt werden: | + | Nachfolgende **zwei** Konfigurationszeilen müssen bei der **__jeweiligen Zonen-Definition__** hinzugefügt werden: |
< | < | ||
... | ... | ||
inline-signing yes; | inline-signing yes; | ||
auto-dnssec maintain; | auto-dnssec maintain; | ||
- | key-directory " | ||
... | ... | ||
</ | </ | ||
Zeile 2434: | Zeile 2433: | ||
inline-signing yes; | inline-signing yes; | ||
auto-dnssec maintain; | auto-dnssec maintain; | ||
- | key-directory " | ||
}; | }; | ||
zone " | zone " | ||
Zeile 2441: | Zeile 2439: | ||
inline-signing yes; | inline-signing yes; | ||
auto-dnssec maintain; | auto-dnssec maintain; | ||
- | key-directory " | ||
}; | }; | ||
zone " | zone " | ||
Zeile 2448: | Zeile 2445: | ||
inline-signing yes; | inline-signing yes; | ||
auto-dnssec maintain; | auto-dnssec maintain; | ||
- | key-directory " | ||
}; | }; | ||
zone " | zone " | ||
Zeile 2455: | Zeile 2451: | ||
inline-signing yes; | inline-signing yes; | ||
auto-dnssec maintain; | auto-dnssec maintain; | ||
- | key-directory " | ||
}; | }; | ||
}; | }; | ||
Zeile 2484: | Zeile 2479: | ||
inline-signing yes; | inline-signing yes; | ||
auto-dnssec maintain; | auto-dnssec maintain; | ||
- | key-directory " | ||
}; | }; | ||
zone " | zone " | ||
Zeile 2491: | Zeile 2485: | ||
inline-signing yes; | inline-signing yes; | ||
auto-dnssec maintain; | auto-dnssec maintain; | ||
- | key-directory " | ||
}; | }; | ||
}; | }; | ||
Zeile 2519: | Zeile 2512: | ||
</ | </ | ||
- | ==== DNSSec: Neustart ==== | + | ==== DNSSec |
Falls die **Basis-Konfiguration** wie oben beschrieben durchgeführt wurde, sollte dem einem **Neustart** nichts im Wege stehen und dies mit nachfolgendem Befehl durchgeführt werden: | Falls die **Basis-Konfiguration** wie oben beschrieben durchgeführt wurde, sollte dem einem **Neustart** nichts im Wege stehen und dies mit nachfolgendem Befehl durchgeführt werden: | ||
Zeile 2526: | Zeile 2519: | ||
</ | </ | ||
- | ==== Überprüfung DNSsec ==== | + | ==== Überprüfung |
Folgende Abfrage sollte nun eine Ausgabe in etwa wie die nachfolgende zur Anzeige bringen: | Folgende Abfrage sollte nun eine Ausgabe in etwa wie die nachfolgende zur Anzeige bringen: | ||
Zeile 2586: | Zeile 2579: | ||
Wie **'' | Wie **'' | ||
- | < | + | < |
# dig @127.0.0.1 rechner10.intra.tachtler.net +dnssec +multi | # dig @127.0.0.1 rechner10.intra.tachtler.net +dnssec +multi | ||
Zeile 2630: | Zeile 2623: | ||
Nachfolgende Abfrage bringt den **DNSKEY** zum Vorschein: | Nachfolgende Abfrage bringt den **DNSKEY** zum Vorschein: | ||
- | < | + | < |
# dig @127.0.0.1 +cd +multi intra.tachtler.net dnskey | # dig @127.0.0.1 +cd +multi intra.tachtler.net dnskey | ||
Zeile 2704: | Zeile 2697: | ||
csk key-directory lifetime unlimited algorithm ecdsa256; | csk key-directory lifetime unlimited algorithm ecdsa256; | ||
}; | }; | ||
- | nsec3param iterations | + | nsec3param iterations |
// Key timings | // Key timings | ||
Zeile 2727: | Zeile 2720: | ||
**__Erklärungen__**: | **__Erklärungen__**: | ||
- | * <code ini> | + | * <code ini> |
Dies ist die einzige Änderung bzw. Ergänzung zum **'' | Dies ist die einzige Änderung bzw. Ergänzung zum **'' | ||
Zeile 2734: | Zeile 2727: | ||
* " | * " | ||
- | ==== DNSSec | + | :!: **HINWEIS** - **Nachfolgende Seiten geben über den aktuellen Stand der Benutzung von NSEC3 Auskunft: |
+ | * https:// | ||
+ | * https:// | ||
+ | * https:// | ||
+ | |||
+ | ==== DNSSec CSK: / | ||
Es gibt die Möglichkeit den DNS-Server [[http:// | Es gibt die Möglichkeit den DNS-Server [[http:// | ||
Zeile 2745: | Zeile 2743: | ||
Nachfolgende Anpassungen der Konfigurationsdatei ''/ | Nachfolgende Anpassungen der Konfigurationsdatei ''/ | ||
- | Nachfolgende **drei** Konfigurationszeilen müssen bei der **__jeweiligen Zonen-Definition__** hinzugefügt werden: | + | Nachfolgende **zwei** Konfigurationszeilen müssen bei der **__jeweiligen Zonen-Definition__** hinzugefügt werden: |
< | < | ||
... | ... | ||
+ | inline-signing yes; | ||
dnssec-policy defaultnsec3; | dnssec-policy defaultnsec3; | ||
... | ... | ||
</ | </ | ||
+ | |||
+ | :!: **ACHTUNG** - **Falls '' | ||
:!: **HINWEIS** - Der DNS-Server [[http:// | :!: **HINWEIS** - Der DNS-Server [[http:// | ||
Zeile 2991: | Zeile 2992: | ||
file " | file " | ||
dnssec-policy defaultnsec3; | dnssec-policy defaultnsec3; | ||
- | key-directory " | ||
}; | }; | ||
zone " | zone " | ||
Zeile 2997: | Zeile 2997: | ||
file " | file " | ||
dnssec-policy defaultnsec3; | dnssec-policy defaultnsec3; | ||
- | | + | |
}; | }; | ||
zone " | zone " | ||
Zeile 3003: | Zeile 3003: | ||
file " | file " | ||
dnssec-policy defaultnsec3; | dnssec-policy defaultnsec3; | ||
- | | + | |
}; | }; | ||
zone " | zone " | ||
Zeile 3009: | Zeile 3009: | ||
file " | file " | ||
dnssec-policy defaultnsec3; | dnssec-policy defaultnsec3; | ||
- | | + | |
}; | }; | ||
}; | }; | ||
Zeile 3037: | Zeile 3037: | ||
file " | file " | ||
dnssec-policy defaultnsec3; | dnssec-policy defaultnsec3; | ||
- | | + | |
}; | }; | ||
zone " | zone " | ||
Zeile 3043: | Zeile 3043: | ||
file " | file " | ||
dnssec-policy defaultnsec3; | dnssec-policy defaultnsec3; | ||
- | | + | |
}; | }; | ||
}; | }; | ||
</ | </ | ||
+ | ==== DNSSec CSK: Überprüfung ==== | ||
- | FIXME - **Hie geht es weiter... / To be continued...** | + | Mit nachfolgendem Befehl kann die **syntaktische Richtigkeit** der Konfigurationsdatei: |
+ | * ''/ | ||
+ | durchgeführt werden und sollte keine Meldungen ausgeben, wenn die Konfigurationsdatei **syntaktische richtig** ist: | ||
+ | < | ||
+ | # named-checkconf -l -z | ||
+ | localhost IN internal master | ||
+ | 0.0.127.in-addr.arpa IN internal master | ||
+ | 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa IN internal master | ||
+ | . IN internal hint | ||
+ | intra.tachtler.net IN internal master | ||
+ | 0.168.192.in-addr.arpa IN internal master | ||
+ | tachtler.net IN internal master | ||
+ | 167.171.217.88.in-addr.arpa IN internal master | ||
+ | localhost IN external master | ||
+ | 0.0.127.in-addr.arpa IN external master | ||
+ | 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa IN external master | ||
+ | . IN external hint | ||
+ | tachtler.net IN external master | ||
+ | 167.171.217.88.in-addr.arpa IN external master | ||
+ | </ | ||
+ | |||
+ | ==== DNSSec CSK: Neustart ==== | ||
+ | |||
+ | Falls die **Basis-Konfiguration** wie oben beschrieben durchgeführt wurde, sollte dem einem **Neustart** nichts im Wege stehen und dies mit nachfolgendem Befehl durchgeführt werden: | ||
+ | < | ||
+ | # systemctl restart named.service | ||
+ | </ | ||
+ | |||
+ | ==== DNSSec CSK: Schlüsselerstellung ==== | ||
+ | |||
+ | Nachdem kein Schlüsselmaterial erstellt worden ist, erscheinen nachfolgende Fehlermeldungen beim ersten Start im Log, welches mit nachfolgendem Befehl durchsucht werden kann: | ||
+ | < | ||
+ | Jun 17 14:27:58 vml020 named[2832]: | ||
+ | IN/ | ||
+ | Jun 17 14:27:58 vml020 named[2832]: | ||
+ | IN/ | ||
+ | Jun 17 14:27:58 vml020 named[2832]: | ||
+ | IN/ | ||
+ | Jun 17 14:27:58 vml020 named[2832]: | ||
+ | IN/ | ||
+ | Jun 17 14:27:58 vml020 named[2832]: | ||
+ | addr.arpa/ | ||
+ | Jun 17 14:27:58 vml020 named[2832]: | ||
+ | addr.arpa/ | ||
+ | </ | ||
+ | |||
+ | Dies ist nur das Ergebnis der Feststellung, | ||
+ | |||
+ | Das Ergebnis der **__automatischen__ Schlüsselerstellung** kann durch Auflistung des Verzeichnisses: | ||
+ | * ''/ | ||
+ | überprüft werden uns sollte verschiedenes Schlüsselmaterial in etwa wie folgt zur Anzeige bringen: | ||
+ | < | ||
+ | # ls -l / | ||
+ | total 48 | ||
+ | -rw-r--r-- 1 named named 425 Jun 17 18:27 K0.168.192.in-addr.arpa.+013+21339.key | ||
+ | -rw------- 1 named named 215 Jun 17 18:27 K0.168.192.in-addr.arpa.+013+21339.private | ||
+ | -rw-r--r-- 1 named named 653 Jun 17 18:27 K0.168.192.in-addr.arpa.+013+21339.state | ||
+ | -rw-r--r-- 1 named named 435 Jun 17 18:27 K167.171.217.88.in-addr.arpa.+013+16299.key | ||
+ | -rw------- 1 named named 215 Jun 17 18:27 K167.171.217.88.in-addr.arpa.+013+16299.private | ||
+ | -rw-r--r-- 1 named named 658 Jun 17 18:27 K167.171.217.88.in-addr.arpa.+013+16299.state | ||
+ | -rw-r--r-- 1 named named 417 Jun 17 18:27 Kintra.tachtler.net.+013+42607.key | ||
+ | -rw------- 1 named named 215 Jun 17 18:27 Kintra.tachtler.net.+013+42607.private | ||
+ | -rw-r--r-- 1 named named 649 Jun 17 18:27 Kintra.tachtler.net.+013+42607.state | ||
+ | -rw-r--r-- 1 named named 405 Jun 17 18:27 Ktachtler.net.+013+15659.key | ||
+ | -rw------- 1 named named 215 Jun 17 18:27 Ktachtler.net.+013+15659.private | ||
+ | -rw-r--r-- 1 named named 643 Jun 17 18:27 Ktachtler.net.+013+15659.state | ||
+ | </ | ||
+ | |||
+ | ==== Überprüfung CSK: DNSsec ==== | ||
+ | |||
+ | Folgende Abfrage sollte nun eine Ausgabe in etwa wie die nachfolgende zur Anzeige bringen: | ||
+ | < | ||
+ | # dig @127.0.0.1 rechner10.intra.tachtler.net +dnssec +multi | ||
+ | |||
+ | ; <<>> | ||
+ | ; (1 server found) | ||
+ | ;; global options: +cmd | ||
+ | ;; Got answer: | ||
+ | ;; ->> | ||
+ | ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 | ||
+ | |||
+ | ;; OPT PSEUDOSECTION: | ||
+ | ; EDNS: version: 0, flags: do; udp: 1232 | ||
+ | ; COOKIE: c15dc5b0231f0a5d7f46930b62ac764403fd2807928addb2 (good) | ||
+ | ;; QUESTION SECTION: | ||
+ | ; | ||
+ | |||
+ | ;; ANSWER SECTION: | ||
+ | rechner10.intra.tachtler.net. 10800 IN A 192.168.0.10 | ||
+ | rechner10.intra.tachtler.net. 10800 IN RRSIG A 13 4 10800 ( | ||
+ | 20220626045317 20220617112758 42607 intra.tachtler.net. | ||
+ | q6rSagtdy9bb69ED/ | ||
+ | fqAgkDgeV7I+K+4NfUW+Y+LAaSHNwAtPoLwqstLuoQ== ) | ||
+ | |||
+ | ;; Query time: 0 msec | ||
+ | ;; SERVER: 127.0.0.1# | ||
+ | ;; WHEN: Fri Jun 17 18:40:36 CEST 2022 | ||
+ | ;; MSG SIZE rcvd: 215 | ||
+ | |||
+ | </ | ||
+ | |||
+ | :!: **HINWEIS** - Das '' | ||
+ | |||
+ | Eine erweitere Ansicht kann durch Änderung nachfolgender **Option** erzeugt werden: | ||
+ | <code ini> | ||
+ | // This option controls the addition of records to the authority and | ||
+ | // additional sections of responses. The default is no-auth-recursive. | ||
+ | minimal-responses no; | ||
+ | </ | ||
+ | |||
+ | **__Nachfolgende Optionen sind möglich__**: | ||
+ | |||
+ | * <code ini> | ||
+ | |||
+ | Der Server ist bei der Erstellung von Antworten so vollständig wie möglich. | ||
+ | |||
+ | * <code ini> | ||
+ | |||
+ | Der Server fügt nur dann Datensätze zu den Autoritäts- und Zusatzabschnitten hinzu, wenn solche Datensätze vom DNS-Protokoll verlangt werden (z. B. bei der Rückgabe von Delegationen oder negativen Antworten). Dies bietet die beste Serverleistung, | ||
+ | |||
+ | * <code ini> | ||
+ | |||
+ | Der Server lässt Datensätze aus dem " | ||
+ | |||
+ | * <code ini> | ||
+ | |||
+ | Wie **'' | ||
+ | |||
+ | < | ||
+ | # dig @127.0.0.1 rechner10.intra.tachtler.net +dnssec +multi | ||
+ | |||
+ | ; <<>> | ||
+ | ; (1 server found) | ||
+ | ;; global options: +cmd | ||
+ | ;; Got answer: | ||
+ | ;; ->> | ||
+ | ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 3 | ||
+ | |||
+ | ;; OPT PSEUDOSECTION: | ||
+ | ; EDNS: version: 0, flags: do; udp: 1232 | ||
+ | ; COOKIE: 6e4a0a4e229380d7c64f7fae62ac76e0189e8716e37022f0 (good) | ||
+ | ;; QUESTION SECTION: | ||
+ | ; | ||
+ | |||
+ | ;; ANSWER SECTION: | ||
+ | rechner10.intra.tachtler.net. 10800 IN A 192.168.0.10 | ||
+ | rechner10.intra.tachtler.net. 10800 IN RRSIG A 13 4 10800 ( | ||
+ | 20220626045317 20220617112758 42607 intra.tachtler.net. | ||
+ | q6rSagtdy9bb69ED/ | ||
+ | fqAgkDgeV7I+K+4NfUW+Y+LAaSHNwAtPoLwqstLuoQ== ) | ||
+ | |||
+ | ;; AUTHORITY SECTION: | ||
+ | intra.tachtler.net. 10800 IN NS ns1.intra.tachtler.net. | ||
+ | intra.tachtler.net. 10800 IN RRSIG NS 13 3 10800 ( | ||
+ | 20220626045317 20220617112758 42607 intra.tachtler.net. | ||
+ | 7AzDTZE5JcJ+RCu6S8bq4OSuk4HEgdht5yM+0841oC+b | ||
+ | fOaZ8aVSVzG+Dmp744YsOJmFRSJ18HAGJmlGkJ/ | ||
+ | |||
+ | ;; ADDITIONAL SECTION: | ||
+ | ns1.intra.tachtler.net. 10800 IN A 192.168.0.20 | ||
+ | ns1.intra.tachtler.net. 10800 IN RRSIG A 13 4 10800 ( | ||
+ | 20220626045317 20220617112758 42607 intra.tachtler.net. | ||
+ | 0dBJWwufYcPPMiphUhF3hOQxBRABxfuRpJtHMZMgftBp | ||
+ | 9+ucj7ksGtVguiekxPdvUy9ekxqKkN0QdDlh1IHb0A== ) | ||
+ | |||
+ | ;; Query time: 10 msec | ||
+ | ;; SERVER: 127.0.0.1# | ||
+ | ;; WHEN: Fri Jun 17 18:43:12 CEST 2022 | ||
+ | ;; MSG SIZE rcvd: 477 | ||
+ | |||
+ | </ | ||
+ | |||
+ | Nachfolgende Abfrage bringt den **DNSKEY** zum Vorschein: | ||
+ | < | ||
+ | # dig @127.0.0.1 +cd +multi intra.tachtler.net dnskey | ||
+ | |||
+ | ; <<>> | ||
+ | ; (1 server found) | ||
+ | ;; global options: +cmd | ||
+ | ;; Got answer: | ||
+ | ;; ->> | ||
+ | ;; flags: qr aa rd ra cd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 | ||
+ | |||
+ | ;; OPT PSEUDOSECTION: | ||
+ | ; EDNS: version: 0, flags:; udp: 1232 | ||
+ | ; COOKIE: 159da8d05abb887dc1ed847562ac77046457c9a3b5751b4f (good) | ||
+ | ;; QUESTION SECTION: | ||
+ | ; | ||
+ | |||
+ | ;; ANSWER SECTION: | ||
+ | intra.tachtler.net. 3600 IN DNSKEY 257 3 13 ( | ||
+ | cwuwXubEW8if4s/ | ||
+ | dObg3GD3KN+KQLkRQE5QMxcP86il8GWWGeEYIv1lfw== | ||
+ | ) ; KSK; alg = ECDSAP256SHA256 ; key id = 42607 | ||
+ | |||
+ | ;; Query time: 0 msec | ||
+ | ;; SERVER: 127.0.0.1# | ||
+ | ;; WHEN: Fri Jun 17 14:43:48 CEST 2022 | ||
+ | ;; MSG SIZE rcvd: 155 | ||
+ | |||
+ | |||
+ | </ | ||
+ | |||
+ | :!: **HINWEIS** - Eine Abfrage kann nur auf eine Zone erfolgen, nicht auf einen einzelnen DNS-Eintrag. | ||
===== Manuelle Zone-Datei Updates ===== | ===== Manuelle Zone-Datei Updates ===== |
tachtler/dns_isc_bind_archlinux.1655468741.txt.gz · Zuletzt geändert: 2022/06/17 14:25 von klaus