Benutzer-Werkzeuge

Webseiten-Werkzeuge


tachtler:dns_isc_bind_archlinux

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
tachtler:dns_isc_bind_archlinux [2022/06/17 14:37] – [DNSSec CSK: Schlüsselerstellung] klaustachtler:dns_isc_bind_archlinux [2023/08/09 12:58] (aktuell) – [Vorbereitung: CSK] klaus
Zeile 2185: Zeile 2185:
 Nachfolgende Anpassungen der Konfigurationsdatei ''/etc/named.conf'' müssen durchgeführt werden um DNSsec **__voll automatisiert__** durch den DNS-Server [[http://www.isc.org|ISC (Internet System Consortium)]] einzurichten. Nachfolgende Anpassungen der Konfigurationsdatei ''/etc/named.conf'' müssen durchgeführt werden um DNSsec **__voll automatisiert__** durch den DNS-Server [[http://www.isc.org|ISC (Internet System Consortium)]] einzurichten.
  
-Nachfolgende **drei** Konfigurationszeilen müssen bei der **__jeweiligen Zonen-Definition__** hinzugefügt werden:+Nachfolgende **zwei** Konfigurationszeilen müssen bei der **__jeweiligen Zonen-Definition__** hinzugefügt werden:
 <code> <code>
 ... ...
                 inline-signing yes;                 inline-signing yes;
                 auto-dnssec maintain;                 auto-dnssec maintain;
-                key-directory "keys"; 
 ... ...
 </code> </code>
Zeile 2434: Zeile 2433:
                 inline-signing yes;                 inline-signing yes;
                 auto-dnssec maintain;                 auto-dnssec maintain;
-                key-directory "keys"; 
  };  };
  zone "0.168.192.in-addr.arpa" IN {  zone "0.168.192.in-addr.arpa" IN {
Zeile 2441: Zeile 2439:
                 inline-signing yes;                 inline-signing yes;
                 auto-dnssec maintain;                 auto-dnssec maintain;
-                key-directory "keys"; 
  };  };
  zone "tachtler.net" IN {  zone "tachtler.net" IN {
Zeile 2448: Zeile 2445:
                 inline-signing yes;                 inline-signing yes;
                 auto-dnssec maintain;                 auto-dnssec maintain;
-                key-directory "keys"; 
  };  };
  zone "167.171.217.88.in-addr.arpa" IN {  zone "167.171.217.88.in-addr.arpa" IN {
Zeile 2455: Zeile 2451:
                 inline-signing yes;                 inline-signing yes;
                 auto-dnssec maintain;                 auto-dnssec maintain;
-                key-directory "keys"; 
  };  };
 }; };
Zeile 2484: Zeile 2479:
                 inline-signing yes;                 inline-signing yes;
                 auto-dnssec maintain;                 auto-dnssec maintain;
-                key-directory "keys"; 
  };  };
  zone "167.171.217.88.in-addr.arpa" IN {  zone "167.171.217.88.in-addr.arpa" IN {
Zeile 2491: Zeile 2485:
                 inline-signing yes;                 inline-signing yes;
                 auto-dnssec maintain;                 auto-dnssec maintain;
-                key-directory "keys"; 
  };  };
 }; };
Zeile 2526: Zeile 2519:
 </code> </code>
  
-==== Überprüfung DNSsec ====+==== Überprüfung KSK und ZSK: DNSsec ====
  
 Folgende Abfrage sollte nun eine Ausgabe in etwa wie die nachfolgende zur Anzeige bringen: Folgende Abfrage sollte nun eine Ausgabe in etwa wie die nachfolgende zur Anzeige bringen:
Zeile 2586: Zeile 2579:
 Wie **''no-auth''**, wenn in der Anfrage eine Rekursion verlangt wird (RD=1), oder dasselbe wie ''no'', wenn keine Rekursion verlangt wird. Wie **''no-auth''**, wenn in der Anfrage eine Rekursion verlangt wird (RD=1), oder dasselbe wie ''no'', wenn keine Rekursion verlangt wird.
  
-<code ini>+<code>
 # dig @127.0.0.1 rechner10.intra.tachtler.net +dnssec +multi # dig @127.0.0.1 rechner10.intra.tachtler.net +dnssec +multi
  
Zeile 2630: Zeile 2623:
  
 Nachfolgende Abfrage bringt den **DNSKEY** zum Vorschein: Nachfolgende Abfrage bringt den **DNSKEY** zum Vorschein:
-<code ini>+<code>
 # dig @127.0.0.1 +cd +multi intra.tachtler.net dnskey # dig @127.0.0.1 +cd +multi intra.tachtler.net dnskey
  
Zeile 2704: Zeile 2697:
          csk key-directory lifetime unlimited algorithm ecdsa256;          csk key-directory lifetime unlimited algorithm ecdsa256;
     };     };
-    nsec3param iterations optout false salt-length 16;+    nsec3param iterations optout no salt-length 0;
  
     // Key timings     // Key timings
Zeile 2727: Zeile 2720:
 **__Erklärungen__**: **__Erklärungen__**:
  
-  * <code ini>nsec3param iterations optout false salt-length 16;</code>+  * <code ini>nsec3param iterations optout no salt-length 0;</code>
  
 Dies ist die einzige Änderung bzw. Ergänzung zum **''dnssec-policy''** - **''"default"''**, die Ergänzung des ''nsec3param''. Die **Optionen** des ''nsec3param'' lauten wie folgt: Dies ist die einzige Änderung bzw. Ergänzung zum **''dnssec-policy''** - **''"default"''**, die Ergänzung des ''nsec3param''. Die **Optionen** des ''nsec3param'' lauten wie folgt:
Zeile 2733: Zeile 2726:
   * Anzeige der Ausgabe   * Anzeige der Ausgabe
   * "Salt" zur Zufallsgenerierung   * "Salt" zur Zufallsgenerierung
 +
 +:!: **HINWEIS** - **Nachfolgende Seiten geben über den aktuellen Stand der Benutzung von NSEC3 Auskunft:**
 +  * https://kb.isc.org/docs/dnssec-key-and-signing-policy
 +  * https://bind9.readthedocs.io/en/latest/dnssec-guide.html
 +  * https://www.rfc-editor.org/rfc/rfc9276.html
  
 ==== DNSSec CSK: /etc/named.conf ==== ==== DNSSec CSK: /etc/named.conf ====
Zeile 2745: Zeile 2743:
 Nachfolgende Anpassungen der Konfigurationsdatei ''/etc/named.conf'' müssen durchgeführt werden um DNSsec **__voll automatisiert__** durch den DNS-Server [[http://www.isc.org|ISC (Internet System Consortium)]] einzurichten. Nachfolgende Anpassungen der Konfigurationsdatei ''/etc/named.conf'' müssen durchgeführt werden um DNSsec **__voll automatisiert__** durch den DNS-Server [[http://www.isc.org|ISC (Internet System Consortium)]] einzurichten.
  
-Nachfolgende **drei** Konfigurationszeilen müssen bei der **__jeweiligen Zonen-Definition__** hinzugefügt werden:+Nachfolgende **zwei** Konfigurationszeilen müssen bei der **__jeweiligen Zonen-Definition__** hinzugefügt werden:
 <code> <code>
 ... ...
 +                inline-signing yes;
                 dnssec-policy defaultnsec3;                 dnssec-policy defaultnsec3;
 ... ...
 </code> </code>
 +
 +:!: **ACHTUNG** - **Falls ''inline-signing yes;'' __nicht__ gesetzt wird werden die Zonen-Dateien umgeschrieben!**
  
 :!: **HINWEIS** - Der DNS-Server [[http://www.isc.org|ISC (Internet System Consortium)]] wird nach den entsprechenden Schlüsseln unter dem angegeben Pfad selbständig suchen! :!: **HINWEIS** - Der DNS-Server [[http://www.isc.org|ISC (Internet System Consortium)]] wird nach den entsprechenden Schlüsseln unter dem angegeben Pfad selbständig suchen!
Zeile 2991: Zeile 2992:
  file "zones/intra.tachtler.net.zone";  file "zones/intra.tachtler.net.zone";
  dnssec-policy defaultnsec3;  dnssec-policy defaultnsec3;
-                key-directory "keys"; 
  };  };
  zone "0.168.192.in-addr.arpa" IN {  zone "0.168.192.in-addr.arpa" IN {
Zeile 2997: Zeile 2997:
  file "zones/0.168.192.in-addr.arpa.zone";  file "zones/0.168.192.in-addr.arpa.zone";
  dnssec-policy defaultnsec3;  dnssec-policy defaultnsec3;
-                key-directory "keys";+                inline-signing yes;
  };  };
  zone "tachtler.net" IN {  zone "tachtler.net" IN {
Zeile 3003: Zeile 3003:
  file "zones/tachtler.net.zone";  file "zones/tachtler.net.zone";
  dnssec-policy defaultnsec3;  dnssec-policy defaultnsec3;
-                key-directory "keys";+                inline-signing yes;
  };  };
  zone "167.171.217.88.in-addr.arpa" IN {  zone "167.171.217.88.in-addr.arpa" IN {
Zeile 3009: Zeile 3009:
  file "zones/167.171.217.88.in-addr.arpa.zone";  file "zones/167.171.217.88.in-addr.arpa.zone";
  dnssec-policy defaultnsec3;  dnssec-policy defaultnsec3;
-                key-directory "keys";+                inline-signing yes;
  };  };
 }; };
Zeile 3037: Zeile 3037:
  file "zones/tachtler.net.zone";  file "zones/tachtler.net.zone";
  dnssec-policy defaultnsec3;  dnssec-policy defaultnsec3;
-                key-directory "keys";+                inline-signing yes;
  };  };
  zone "167.171.217.88.in-addr.arpa" IN {  zone "167.171.217.88.in-addr.arpa" IN {
Zeile 3043: Zeile 3043:
  file "zones/167.171.217.88.in-addr.arpa.zone";  file "zones/167.171.217.88.in-addr.arpa.zone";
  dnssec-policy defaultnsec3;  dnssec-policy defaultnsec3;
-                key-directory "keys";+                inline-signing yes;
  };  };
 }; };
Zeile 3118: Zeile 3118:
 </code> </code>
  
-FIXME - **Hie geht es weiter... / To be continued...**+==== Überprüfung CSK: DNSsec ==== 
 + 
 +Folgende Abfrage sollte nun eine Ausgabe in etwa wie die nachfolgende zur Anzeige bringen: 
 +<code> 
 +# dig @127.0.0.1 rechner10.intra.tachtler.net +dnssec +multi 
 + 
 +; <<>> DiG 9.18.3 <<>> @127.0.0.1 rechner10.intra.tachtler.net +dnssec +multi 
 +; (1 server found) 
 +;; global options: +cmd 
 +;; Got answer: 
 +;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26205 
 +;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 
 + 
 +;; OPT PSEUDOSECTION: 
 +; EDNS: version: 0, flags: do; udp: 1232 
 +; COOKIE: c15dc5b0231f0a5d7f46930b62ac764403fd2807928addb2 (good) 
 +;; QUESTION SECTION: 
 +;rechner10.intra.tachtler.net. IN A 
 + 
 +;; ANSWER SECTION: 
 +rechner10.intra.tachtler.net. 10800 IN A 192.168.0.10 
 +rechner10.intra.tachtler.net. 10800 IN RRSIG A 13 4 10800 ( 
 + 20220626045317 20220617112758 42607 intra.tachtler.net. 
 + q6rSagtdy9bb69ED/ngjyRVgf7mTwAKx6lzjUZ/QhtlB 
 + fqAgkDgeV7I+K+4NfUW+Y+LAaSHNwAtPoLwqstLuoQ== ) 
 + 
 +;; Query time: 0 msec 
 +;; SERVER: 127.0.0.1#53(127.0.0.1) (UDP) 
 +;; WHEN: Fri Jun 17 18:40:36 CEST 2022 
 +;; MSG SIZE  rcvd: 215 
 + 
 +</code> 
 + 
 +:!: **HINWEIS** - Das ''Flag: **ad**'' ist bei Authoritativen DNS-Servern **__NICHT__** gesetzt! Nur bei **rekursiven "resolvern"** ist das ''Flag: **ad**'' gesetzt, da nur diese die "Kette des Vertrauens" abfragen und auflösen können! 
 + 
 +Eine erweitere Ansicht kann durch Änderung nachfolgender **Option** erzeugt werden: 
 +<code ini> 
 + // This option controls the addition of records to the authority and 
 + // additional sections of responses. The default is no-auth-recursive. 
 + minimal-responses no; 
 +</code> 
 + 
 +**__Nachfolgende Optionen sind möglich__**: 
 + 
 +  * <code ini>no</code> 
 + 
 +Der Server ist bei der Erstellung von Antworten so vollständig wie möglich. 
 + 
 +  * <code ini>yes</code> 
 + 
 +Der Server fügt nur dann Datensätze zu den Autoritäts- und Zusatzabschnitten hinzu, wenn solche Datensätze vom DNS-Protokoll verlangt werden (z. B. bei der Rückgabe von Delegationen oder negativen Antworten). Dies bietet die beste Serverleistung, kann aber zu mehr Client-Abfragen führen. 
 + 
 +  * <code ini>no-auth</code> 
 + 
 +Der Server lässt Datensätze aus dem "Authority"-Abschnitt weg, es sei denn, sie sind erforderlich, aber er kann trotzdem Datensätze zum "Additional"-Abschnitt hinzufügen. 
 + 
 +  * <code ini>no-auth-recursive</code> 
 + 
 +Wie **''no-auth''**, wenn in der Anfrage eine Rekursion verlangt wird (RD=1), oder dasselbe wie ''no'', wenn keine Rekursion verlangt wird. 
 + 
 +<code> 
 +# dig @127.0.0.1 rechner10.intra.tachtler.net +dnssec +multi 
 + 
 +; <<>> DiG 9.18.3 <<>> @127.0.0.1 rechner10.intra.tachtler.net +dnssec +multi 
 +; (1 server found) 
 +;; global options: +cmd 
 +;; Got answer: 
 +;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10575 
 +;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 3 
 + 
 +;; OPT PSEUDOSECTION: 
 +; EDNS: version: 0, flags: do; udp: 1232 
 +; COOKIE: 6e4a0a4e229380d7c64f7fae62ac76e0189e8716e37022f0 (good) 
 +;; QUESTION SECTION: 
 +;rechner10.intra.tachtler.net. IN A 
 + 
 +;; ANSWER SECTION: 
 +rechner10.intra.tachtler.net. 10800 IN A 192.168.0.10 
 +rechner10.intra.tachtler.net. 10800 IN RRSIG A 13 4 10800 ( 
 + 20220626045317 20220617112758 42607 intra.tachtler.net. 
 + q6rSagtdy9bb69ED/ngjyRVgf7mTwAKx6lzjUZ/QhtlB 
 + fqAgkDgeV7I+K+4NfUW+Y+LAaSHNwAtPoLwqstLuoQ== ) 
 + 
 +;; AUTHORITY SECTION: 
 +intra.tachtler.net. 10800 IN NS ns1.intra.tachtler.net. 
 +intra.tachtler.net. 10800 IN RRSIG NS 13 3 10800 ( 
 + 20220626045317 20220617112758 42607 intra.tachtler.net. 
 + 7AzDTZE5JcJ+RCu6S8bq4OSuk4HEgdht5yM+0841oC+b 
 + fOaZ8aVSVzG+Dmp744YsOJmFRSJ18HAGJmlGkJ/eww== ) 
 + 
 +;; ADDITIONAL SECTION: 
 +ns1.intra.tachtler.net. 10800 IN A 192.168.0.20 
 +ns1.intra.tachtler.net. 10800 IN RRSIG A 13 4 10800 ( 
 + 20220626045317 20220617112758 42607 intra.tachtler.net. 
 + 0dBJWwufYcPPMiphUhF3hOQxBRABxfuRpJtHMZMgftBp 
 + 9+ucj7ksGtVguiekxPdvUy9ekxqKkN0QdDlh1IHb0A== ) 
 + 
 +;; Query time: 10 msec 
 +;; SERVER: 127.0.0.1#53(127.0.0.1) (UDP) 
 +;; WHEN: Fri Jun 17 18:43:12 CEST 2022 
 +;; MSG SIZE  rcvd: 477 
 + 
 +</code> 
 + 
 +Nachfolgende Abfrage bringt den **DNSKEY** zum Vorschein: 
 +<code> 
 +# dig @127.0.0.1 +cd +multi intra.tachtler.net dnskey 
 + 
 +; <<>> DiG 9.18.3 <<>> @127.0.0.1 +cd +multi intra.tachtler.net dnskey 
 +; (1 server found) 
 +;; global options: +cmd 
 +;; Got answer: 
 +;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 59227 
 +;; flags: qr aa rd ra cd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 
 + 
 +;; OPT PSEUDOSECTION: 
 +; EDNS: version: 0, flags:; udp: 1232 
 +; COOKIE: 159da8d05abb887dc1ed847562ac77046457c9a3b5751b4f (good) 
 +;; QUESTION SECTION: 
 +;intra.tachtler.net. IN DNSKEY 
 + 
 +;; ANSWER SECTION: 
 +intra.tachtler.net. 3600 IN DNSKEY 257 3 13 ( 
 + cwuwXubEW8if4s/vo/2jdWhGolvHBVFr2i4fNkEHlyx6 
 + dObg3GD3KN+KQLkRQE5QMxcP86il8GWWGeEYIv1lfw== 
 + ) ; KSK; alg = ECDSAP256SHA256 ; key id = 42607 
 + 
 +;; Query time: 0 msec 
 +;; SERVER: 127.0.0.1#53(127.0.0.1) (UDP) 
 +;; WHEN: Fri Jun 17 14:43:48 CEST 2022 
 +;; MSG SIZE  rcvd: 155 
 + 
 + 
 +</code> 
 + 
 +:!: **HINWEIS** - Eine Abfrage kann nur auf eine Zone erfolgen, nicht auf einen einzelnen DNS-Eintrag.
  
 ===== Manuelle Zone-Datei Updates ===== ===== Manuelle Zone-Datei Updates =====
tachtler/dns_isc_bind_archlinux.1655469471.txt.gz · Zuletzt geändert: 2022/06/17 14:37 von klaus