ฉันมีโดเมนที่มีการรักษาความปลอดภัยด้วย dnssec ซึ่งจำเป็นต้องใช้งานได้เป็นเวลา 8 สัปดาห์เมื่อมาสเตอร์ทั้งหมดไม่สามารถเข้าถึงได้
ตามความเข้าใจของฉันการตั้งค่า sig-validity-interval ถึง 64 7 ในไฟล์กำหนดค่าของโซนควรสร้างขึ้น เอสซิกซึ่งมีอายุ 64 วัน และมีการลาออกโดยอัตโนมัติโดย bind9 ทุก ๆ 7 วัน
เมื่อฉันใช้งานสิ่งนี้กับโดเมนเสร็จแล้ว ฉันรู้สึกประหลาดใจที่เห็น dnsvis แสดงให้ฉันเห็นว่าไม่ได้สร้างขึ้นทั้งหมด อาร์เอสซิก64 วันที่ผ่านมา เดอะ อาร์เอสซิกs สำหรับทั้งคู่ DNSKEY และ สพธอ มีอายุการใช้งานตามระยะเวลาที่คาดไว้ แต่อย่างอื่นทั้งหมด อาร์เอสซิกs หมดอายุหลังจาก 11 ถึง 14 วัน
ตอนแรกฉันคิดว่านี่อาจเป็นปัญหาการแคชที่เกิดจากการเรียกใช้ bind9 ก่อนที่จะตั้งค่าช่วงความถูกต้องของลายเซ็น ดังนั้นฉันจึงหยุด ชื่อ,เคลียร์ /var/แคช/ผูก และลบไฟล์ DNSSEC ทั้งหมด *.jbk, *.jnl, *.ลงนาม, และ *.signed.jnlจากนั้นรีสตาร์ทการผูกอีกครั้ง สิ่งนี้ไม่ได้ช่วยแก้ปัญหา
เห็นได้ชัดว่าฉันทำอะไรผิดที่นี่ แต่ฉันไม่รู้ว่าอะไร ด้านล่างนี้เป็นตัวอย่างการกำหนดค่าที่ฉันใช้สำหรับโดเมน:
การประกาศเขตใน ชื่อ.conf.local:
โซน "example.com" {
พิมพ์ต้นแบบ;
ไฟล์ ".../db.example.com";
อนุญาตให้โอน { ... };
ยังแจ้ง { ... };
การลงนามแบบอินไลน์ ใช่;
auto-dnssec รักษา;
การเพิ่มวิธีการปรับปรุงแบบอนุกรม;
ไดเร็กทอรีคีย์ "...";
sig-validity-interval 64 7;
};
เนื้อหาของ .../db.example.com:
$TTL 300
@ใน SOA ns1.example.com. admin.example.com. (
2021101004 ; อนุกรม
10m ; รีเฟรช
20m ; ลองอีกครั้ง
9w ; หมดอายุ
1 ชม. ) ; TTL แคชเชิงลบ
;
ตัวอย่าง.คอม. ใน NS ns1.example.com
ตัวอย่าง.คอม. ใน NS ns2.example.com
; ...
จากการผูกเวอร์ชัน 9.16.15 (~2021) ดูเหมือนว่าการผูกจะอนุญาตให้ควบคุมได้ก็ต่อเมื่อ อาร์เอสซิก บันทึกจะหมดอายุเมื่อ นโยบาย dnssec ที่กำหนดเอง ใช้:
ลายเซ็นรีเฟรช, ความถูกต้องของลายเซ็น, และ ลายเซ็นความถูกต้อง DNSkey ตั้งค่าเป็นค่าที่ต้องการนโยบาย DNSsec ตัวเลือกในบล็อกโซนนโยบายที่กำหนดเองอาจมีลักษณะดังนี้:
ตัวอย่างนโยบาย dnssec-com-policy {
dnskey-ttl 300;
ปุ่ม {
อัลกอริทึมไม่ จำกัด ตลอดอายุการใช้งานของไดเรกทอรีคีย์ ksk ED25519;
zsk คีย์ไดเร็กทอรีตลอดอายุการใช้งานไม่ จำกัด อัลกอริทึม ED25519;
};
max-zone-ttl 300;
parent-ds-ttl 300;
พาเรนต์ขยายพันธุ์ล่าช้า 2 ชม.
เผยแพร่ความปลอดภัย 7d;
ความปลอดภัยหลังเกษียณ 7d;
ลายเซ็นรีเฟรช 1439h;
ความถูกต้องของลายเซ็น 90d;
ลายเซ็นความถูกต้อง DNSkey 90d;
การขยายพันธุ์โซนล่าช้า 2 ชม.
};
และบล็อกโซนอาจมีลักษณะดังนี้:
โซน "example.com" {
พิมพ์ต้นแบบ;
ไฟล์ ".../db.example.com";
อนุญาตให้โอน { ... };
ยังแจ้ง { ... };
ไดเร็กทอรีคีย์ "...";
การเพิ่มวิธีการปรับปรุงแบบอนุกรม;
ตัวอย่างนโยบาย dnssec-com-policy;
};
คำเตือน วิธีนี้มาพร้อมกับข้อเสียเล็กน้อยเมื่อเปรียบเทียบกับวิธีดั้งเดิม (เช่น การบำรุงรักษา DNSsec อัตโนมัติ):
ฉันพบว่าการผูกนั้นไม่ตอบสนองต่อ ร.น.ด/systemctl คำสั่งเมื่อใช้นโยบายเดียวสำหรับหลายโดเมน การกำหนดนโยบายแยกต่างหากสำหรับแต่ละโซนดูเหมือนจะแก้ไขปัญหานี้ได้
ฉันพบการผูกมัดนั้นแล้ว ยืนยันในการ "เลิกใช้" คีย์ KSK และ ZSK ของคุณไม่ว่าจะหมดอายุหรือไม่ก็ตาม. ฉันไม่พบวิธีหลีกเลี่ยงปัญหานี้ในขณะที่เขียนบทความนี้
จากสิ่งที่ฉันสามารถบอกได้ว่าสิ่งนี้ใช้ได้กับการผูกทั้งในการกำหนดค่าหลักและรอง
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
