บรรจวบ เข้าสู่ระบบ
Score:0
Tenders McChiken avatar Server

ฉันจะป้องกันไม่ให้ Bind เลิกใช้คีย์ DNSSEC ที่ไม่หมดอายุเมื่อใช้นโยบาย DNSSEC ได้อย่างไร

ธง eg
Tenders McChiken

เพื่อควบคุมเมื่อลายเซ็นหมดอายุ ฉันเปลี่ยนไปใช้ นโยบาย DNSsec เพื่อสร้างระเบียน DNSSEC สำหรับโซนของฉัน สิ่งนี้ได้แก้ปัญหาของการทำให้ระเบียน RRSIG หมดอายุเมื่อควร แต่ทำให้เกิดปัญหาใหม่ในตัวมันเอง

ตอนนี้ bind9 พยายามเลิกใช้คีย์ KSK และ ZKS ที่ยังไม่หมดอายุของฉันอย่างต่อเนื่อง ฉันจะกำหนดค่าการผูกไม่ให้พยายามหมุนคีย์ใด ๆ เมื่อคีย์ไม่มีวันหมดอายุได้อย่างไร

นี่คือส่วนที่เกี่ยวข้องกับบันทึกของฉัน:

ชื่อ [5078]: keymgr: เลิกใช้ DNSKEY example.com/ED25519/00000 (KSK)
ชื่อ[5078]: keymgr: DNSKEY example.com/ED25519/50916 (ZSK) สร้างขึ้นสำหรับนโยบาย example-com-policy
ชื่อ [5078]: โซน example.com/IN (ลงชื่อ): zone_rekey:dns_dnssec_keymgr ล้มเหลว: เกิดข้อผิดพลาดในการเขียนคีย์ลงดิสก์

ข้อมูลเพิ่มเติมเกี่ยวกับการตั้งค่าของฉัน:

  1. คีย์ KSK และ ZSK ถูกสร้างขึ้นโดยการเรียกใช้:

    dnssec-keygen -a ED25519 -f KSK example.com
dnssec-keygen -a ED25519 example.com

  2. ประกาศนโยบายใน ชื่อ.conf.local:

    ตัวอย่างนโยบาย dnssec-com-policy {
  dnskey-ttl 300;
  ปุ่ม {
      อัลกอริทึมไม่ จำกัด ตลอดอายุการใช้งานของไดเรกทอรีคีย์ ksk ED25519;
      zsk คีย์ไดเร็กทอรีตลอดอายุการใช้งานไม่ จำกัด อัลกอริทึม ED25519;
  };
  max-zone-ttl 300;
  parent-ds-ttl 300;
  พาเรนต์ขยายพันธุ์ล่าช้า 2 ชม.
  เผยแพร่ความปลอดภัย 7d;
  ความปลอดภัยหลังเกษียณ 7d;
  ลายเซ็นรีเฟรช 1439h;
  ความถูกต้องของลายเซ็น 90d;
  ลายเซ็นความถูกต้อง DNSkey 90d;
  การขยายพันธุ์โซนล่าช้า 2 ชม.
};

  3. การประกาศเขตใน ชื่อ.conf.local:

    โซน "example.com" {
     พิมพ์ต้นแบบ;
     ไฟล์ ".../db.example.com";
     อนุญาตให้โอน { ... };
     ยังแจ้ง { ... };

     ไดเร็กทอรีคีย์ "...";
     อนุกรม-update-method unixtime;
     ตัวอย่างนโยบาย dnssec-com-policy;
};

  4. และเนื้อหาของ .../db.example.com:

    $TTL 300
@ใน SOA ns1.example.com. admin.example.com. (
         1634019890 ; อนุกรม
         10m ; รีเฟรช
         20m ; ลองอีกครั้ง
         9w ; หมดอายุ
         1 ชม. ) ; TTL แคชเชิงลบ
;

ตัวอย่าง.คอม. ใน NS ns1.example.com
ตัวอย่าง.คอม. ใน NS ns2.example.com

; ...

  5. ข้อมูลระบบ:

    • bind9 9.16.15-เดเบียน
    • Debian 11 (เสถียรล่าสุด)
    • การกำหนดค่า apparmor เริ่มต้น
    • ชื่อมีสิทธิ์เข้าถึงไดเร็กทอรีคีย์แบบอ่านอย่างเดียว

2021-10-22 อัปเดต

ข้อมูลเวลาสำหรับทั้งสองปุ่ม (อ้างอิงจาก DNSsec-settime -p ทั้งหมด) เป็น:

สร้างเมื่อ: อา. 10 ต.ค. 07:51:48 2021
เผยแพร่: อา. 10 ต.ค. 07:51:48 2021
เปิดใช้งาน: อา. 10 ต.ค. 07:51:48 2021
เพิกถอน: UNSET
ไม่ใช้งาน: UNSET
ลบ: ยกเลิกการตั้งค่า
เผยแพร่ SYNC: UNSET
ซิงค์ลบ: ยกเลิกการตั้งค่า
DS เผยแพร่: UNSET
DS ลบ: ยกเลิกการตั้งค่า
214
0 + 0
pl flag
Adrian Zaugg
ข้อมูลการจับเวลาจะถูกบันทึกไว้ในคีย์ด้วย ใช้ dnssec-settime เพื่อแก้ไข: โปรดดูที่ https://dnssec-guide.readthedocs.io/en/latest/signing.html#setting-key-timing-information สิ่งนี้ช่วยแก้ปัญหาของคุณหรือไม่?
0
ตอบกลับ
Tenders McChiken avatar
eg flag
Tenders McChiken
เนื่องจากคีย์ไม่มีวันหมดอายุ ฉันจึงไม่แน่ใจว่าข้อมูลเวลาที่ฝังอยู่ในคีย์เป็นสาเหตุของปัญหานี้ ฉันได้แก้ไขโพสต์ของฉันเพื่อรวมข้อมูลเวลาสำหรับสองคีย์
0
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา