这是我解决的问题的报告,但我觉得该解决方案可能对其他人有用。
该问题出现在 Raspbian 9.13 上。由于某些(可能是硬件)原因仍有待发现,我的基于 Raspberry pi 的路由器崩溃了并且无法重新启动。我发现它卡在树莓派刚刚通电时显示的类似彩虹的图像上。
不管怎样,我重新启动了 Pi,一切都像往常一样工作。
唯一不起作用的是 Bind 9。守护进程正在运行,但名称解析不起作用。
我查看了以下帮助:https://dnsinstitute.com/documentation/dnssec-guide/ch05s04.html,因为我在 /var/log/named/dnssec.log 中发现了奇怪的日志:
validating ./NS: verify failed due to bad signature (keyid=60955): RRSIG validity period has not begun
我发现的一个可能的解决方案是,确实,时间不对:圆周率显示的时间是过去五个小时前的时间。这解释了为什么它在未来发现 RRSIG 的有效性。
问题是:它无法正确设置时间,因为它无法解析 NTP 服务器名称。因为名称解析根本不起作用,因为时间不对。
$ dnssec-keygen -a HMAC-MD5 -b 512 -n HOST {host}
以上导致空行和无休止的等待
$ dnssec-keygen -T DNSKEY -a HMAC-MD5 -b 512 -n HOST {host}
相同
熵:
$ cat /proc/sys/kernel/random/entropy_avail
890
附:我试图通过find /制造一些噪音,但没有带来任何结果
只是想了解bindkeys-file绑定配置中与 DNSSEC 扩展相关的指令。那是公钥吗?它是否以与数字签名相同的方式签署响应?