このスレッドは未解決です(解決したらこちらで解決済にしてください)
<<戻る

最新版のnamedに実装されたDNSSECについて このメッセージに返信する
日時: 2012/01/26 20:58
名前: コミナミ
URL:
CentOS5.7/CentOS6.2のnamed9.7.xよりDNSSECが実装されましたが、
ここの構築ではDNSSECに必要な鍵のセットアップについてが
紹介されていないのが気になります。

実際にここの通りnamed(CentOS6.2)を構築し、使用していると
/var/log/messages の「named]の項目に「validating」というメッセージ
が非常に大量に記録されるようになりました。
加えて、namedがまれに無限ループに陥り機能しなくなる現象も
確認されています。
namedをリスタートさせればnamedが機能しなくなる現象は解消しますが、
数日、早い時は数時間で再びnamedが無限ループに陥り機能しなくなる現象
が起こります。

今はとりあえず、DNSSECを無効化
(named.confの中の「dnssec-enable yes;」⇒「dnssec-enable no;」
「dnssec-validation yes;」⇒「dnssec-validation no;」
「dnssec-lookaside auto;」を先頭に#マークをつけてコメントアウトし、DNSSECを無効化)
しています。

DNSSECを無効化してからは/var/log/messages の「named]の項目に
「validating」というメッセージは記録されなくなり
namedが無限ループに陥り機能しなくなる現象は発生していません。

一応ご報告まで
記事編集 編集
Re: 最新版のnamedに実装されたDNSSECについて このメッセージに返信する
日時: 2012/01/26 23:41
名前: よっしー
URL:
私もほぼこのサイトの通りにCentOS 6.2(x86_64版)でBINDを構築・運用
していますが、以前から私の環境でもBINDが不定期に動作不全に陥る
事象が確認されていて原因を調べあぐねており、仕方ないので都度
デーモン再起動で対処していましたが、上記コミナミ 様の書き込み
を拝見して漸く原因が分かりました。

昨今の一般ユーザーをも標的にした攻撃が横行している状況を鑑みると、
このサイトでも早めに紹介して頂きたいなあ、というのが正直なところ
です。

宜しくお願い致します。

以上
記事編集 編集
Re: 最新版のnamedに実装されたDNSSECについて このメッセージに返信する
日時: 2012/01/27 08:29
名前: stranger
URL: http://ja.528p.com/
named.confで
bindkeys-file の設定はされていますか

bind-9.8.1-P1をソースから入れた場合の例
bind.keysの名前はCentOSのパッケージでは変わっていると思う

dnssec-enable yes;
dnssec-validation auto;
dnssec-lookaside auto;
bindkeys-file "/etc/bind.keys";

実際にはこれでは不十分で
逆引き用(invalidのでる)のtrusted-keyを自分で作成して
include "/etc/trusted.keys";
しています
書式
trusted-keys {
"24.in-addr.arpa." 257 3 5 "BQEAAAABxX5xuRhGR 長いので途中省略 WjDPQIQ==";
}

keyの調べ方
dig DNSKEY 24.in-addr.arpa

以上はDLV(DNSSEC Look-aside Validation Registry)を利用するためのもので
自分のサイトをDNSSECで保証するのとは意味が異なります
記事編集 編集
Re: 最新版のnamedに実装されたDNSSECについて このメッセージに返信する
日時: 2013/05/01(Wed) 18:54
名前: Nちゃん
URL:
> named.confで
> bindkeys-file の設定はされていますか

丁度今でしたら、CentOS6.4 でyumでbindをインストールすると
bind-9.8.2-0.17.rc1.el6_4.4.i686 が入りましたが、

DNSサーバー構築(BIND) のページでは、bind.keys の代わりの
もの(named.iscdlv.key) が指定されていますので、
そのあたりは問題ないはずですね。

むしろ、forwarders で設定している上位サイトが
DNSSECに対応していないといくらやってもlogが出っぱなしに
なるので、お悩みの方はそちらも試してみてはいかがでしょ
うか?

参考 http://kulog.org/pc/software/k4220/

をみて試してみましたら、ログ出力がぴたりと止まりました(苦笑)
記事編集 編集
Re: 最新版のnamedに実装されたDNSSECについて このメッセージに返信する
日時: 2013/05/02(Thu) 08:51
名前: stranger
URL: http://ja.528p.com/
bind-9.8.2-0.17.rc1.el6_4.4.i686

ここのサイトと異なる部分は
named.confで
include "/etc/named.root.key";
を設定しnamed.root.keyを読み込んでいる部分

named.root.keyの中身は
named.iscdlv.keyのROOT KEYの部分と同じようです

named.iscdlv.keyのROOT KEYを使うには
"dnssec-validation auto;"を設定しろと
named.iscdlv.keyの中に説明がある

dnssec-validation auto;
を設定した場合は
バイナリに組み込まれたkeyをよみこむようです

ソースを詳しく見てないので推測
記事編集 編集
電池交換したばか このメッセージに返信する
日時: 2013/08/28(Wed) 11:05
名前: スーパーコピー
URL:
- また簡単に開かないときも同様で、無理やりあけようとしますと手が滑って時計に傷がついたりすることがありますので充分ご注意ください。 【発送について】.1 じや小型ポタ時計が止まったら、電池を交換すればいい。半年から一年に一度、時間を合わせればいい。て、時計職人の高度な技術が必要なくなってしまったのだ。http://sakurawow.com/
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -