jmw*_*jmw 4 domain-name-system bind dnssec
我有一个在 LAN 上运行的前向 BIND9 服务器,它每天记录数百个错误,例如:
Aug 29 18:38:29 nuc named[850]: error (no valid RRSIG) resolving 'ubuntu.com/DS/IN': 75.75.75.75#53
Aug 29 18:38:31 nuc named[850]: validating @0x7fc6d826ed50: com SOA: got insecure response; parent indicates it should be secure
Aug 29 18:38:31 nuc named[850]: error (no valid RRSIG) resolving 'medium.com/DS/IN': 75.75.75.75#53
Aug 29 18:38:31 nuc named[850]: validating @0x7fc6d4014b80: com SOA: got insecure response; parent indicates it should be secure
客户端似乎仍在获得结果,但这些消息正在填满日志。中的相关行named.conf:
forwarders {
# Comcast
2001:558:feed::1;
2001:558:feed::2;
75.75.75.75;
75.75.76.76;
};
forward only;
dnssec-enable yes;
dnssec-validation auto;
dnssec-lookaside auto;
这些错误究竟意味着什么正在发生?这是我的还是康卡斯特的配置错误?
小智 9
在我的旧 Ubuntu 服务器上使用 Bind 9.9 在文件 /etc/bind/named.conf.options 参数中
dnssec-validation auto;
已默认设置。
在过去的三四年里,我收到了大量的错误消息,例如:
named[2308]: validating @0x7fd77c00ffc0: . DNSKEY: please check the 'trusted-keys' for '.' in named.conf.
named[2308]: error (no valid KEY) resolving './DNSKEY/IN': 199.7.83.42#53
named[2308]: validating @0x7fd780022e80: . DNSKEY: unable to find a DNSKEY which verifies the DNSKEY RRset and also matches a trusted key for '.'
经过三四年的绑定配置和密钥的摸索之后,查看处理 isc 绑定的每个可访问资源,至少添加/更改参数
dnssec-enable yes;
dnssec-validation yes;
解决了我的问题与这些大量的错误。
看起来 Comcast 的服务器故意从他们给您的响应中去除 DNSSEC 签名,因此您的服务器无法验证com.(在这种情况下),即使它知道应该签名。这不太可能导致任何直接明显的问题,它只会让您和您的用户对 DNSSEC 旨在防御的所有攻击敞开大门。
康卡斯特为何要降低您的安全级别,您必须询问他们。
小智 8
我遇到了类似的错误/var/log/syslog
no valid RRSIG resolving和broken trust chain resolving
添加以下参数后/etc/bind/named.conf/options,问题就消失了
dnssec-enable yes;
dnssec-validation yes;
| 归档时间: |
|
| 查看次数: |
22177 次 |
| 最近记录: |