Re: Разное поведение Bind9 в Debian и Ubuntu
On Fri, 30 Jan 2015 22:26:36 +0300 Eugene Berdnikov b...@protva.ru wrote: On Fri, Jan 30, 2015 at 07:30:45PM +0300, Andrey Tataranovich wrote: Воодушивившись, обновил wheezy и precise до актуального состояния. В wheezy сейчас 1:9.8.4.dfsg.P1-6+nmu2+deb7u3 и проблем с dnssec нету, а в precise - 1:9.8.1.dfsg.P1-4ubuntu0.9 и проблема осталась. Теперь дело за малым - сравнить исходники пакетов, найти какой патч в debian исправляет эту проблему и зарепортить его убунтуйцам. Андрей, JFYI, нашёл под рукой Ubuntu trusty с bind9 1:9.9.5.dfsg-3ubuntu0.1 для amd64, насколько я понимаю, проблем с резолвингом frogger.nl на этом хосте не наблюдается. Во всяком случае, в логах никакой ругани не видно, dig работает. Может, есть какой-то тесткейс для прямой проверки DNSSEC? У меня на свежем precise кидает ошибку такая команда: $ nslookup mail.frogger.nl ;; Got SERVFAIL reply from 127.0.0.1, trying next server Server: localhost Address:127.0.0.1#53 ** server can't find mail.frogger.nl: NXDOMAIN При этом в лог валится grep named /var/log/syslog | tail -n 10 Feb 2 14:26:07 ubuntu named[21197]: error (no valid NSEC) resolving 'mail.frogger.nl/A/IN': 85.17.41.33#53 Feb 2 14:26:16 ubuntu named[21197]: error (no valid NSEC) resolving 'mail.frogger.nl/A/IN': 85.92.140.133#53 Feb 2 14:26:16 ubuntu named[21197]: error (no valid NSEC) resolving 'mail.frogger.nl/A/IN': 82.192.67.204#53 Feb 2 14:26:16 ubuntu named[21197]: error (no valid NSEC) resolving 'mail.frogger.nl/A/IN': 85.17.41.33#53 Feb 2 14:26:29 ubuntu named[21197]: error (no valid NSEC) resolving 'mail.frogger.nl/A/IN': 85.92.140.133#53 Feb 2 14:26:29 ubuntu named[21197]: error (no valid NSEC) resolving 'mail.frogger.nl/A/IN': 82.192.67.204#53 Feb 2 14:26:29 ubuntu named[21197]: error (no valid NSEC) resolving 'mail.frogger.nl/A/IN': 85.17.41.33#53 Feb 2 14:26:29 ubuntu named[21197]: error (no valid NSEC) resolving 'mail.frogger.nl/A/IN': 85.92.140.133#53 Feb 2 14:26:29 ubuntu named[21197]: error (no valid NSEC) resolving 'mail.frogger.nl/A/IN': 82.192.67.204#53 Feb 2 14:26:30 ubuntu named[21197]: error (no valid NSEC) resolving 'mail.frogger.nl/A/IN': 85.17.41.33#53 Сам frogger.nl резолвится без проблем: $ nslookup frogger.nl localhost Server: localhost Address:127.0.0.1#53 Non-authoritative answer: Name: frogger.nl Address: 46.17.2.162 Скорее всего у него настроено что-то вроде @ IN A 1.2.3.4 * IN A 1.2.3.4 резолвится любой сабдомен frogger.nl. -- WBR, Andrey Tataranovich -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20150202172905.68bf0585@dragoncore.local
Re: Разное поведение Bind9 в Debian и Ubuntu
On Fri, 30 Jan 2015 17:29:15 +0300 Artem Chuprina r...@ran.pp.ru wrote: Продолжая Женину мысль: покажи версии криптобиблиотек, с которыми оно слинковано там и там. В Wheezy это должно быть libcrypto.so.1.0.0 = /usr/lib/x86_64-linux-gnu/libcrypto.so.1.0.0 (0x7f5fb5a3a000) Я склонен заподозрить, что кто-то начал подписывать зону на эллиптических кривых или еще на чем-нибудь странном. Чего в убунте по той или иной причине не собрали. Ну, при условии, что тривиальные идиотские проблемы типа забыл на убунте обеспечить trusted root проверены и не наблюдаются... Женя, Артем, спасибо за помощь - проблема приобрела неожиданное продолжение. Я сейчас приболел и сижу дома, а контейнеры в которых исследовалась проблема остались на рабочем месте. Чтобы сверить либы, я поднял локально контейнеры wheezy и precise и поставил в них одинаковую версию bind9 (1:9.8.1.dfsg.P1-4). При тестировании обнаружилось сейчас резолвинг этого хоста одинаково НЕ работает в wheezy и precise. Пока не знаю где я накосячил, когда делал сравнение в первый раз, но проверить это смогу не раньше, чем появлюсь в офисе. Воодушивившись, обновил wheezy и precise до актуального состояния. В wheezy сейчас 1:9.8.4.dfsg.P1-6+nmu2+deb7u3 и проблем с dnssec нету, а в precise - 1:9.8.1.dfsg.P1-4ubuntu0.9 и проблема осталась. Теперь дело за малым - сравнить исходники пакетов, найти какой патч в debian исправляет эту проблему и зарепортить его убунтуйцам. -- WBR, Andrey Tataranovich -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20150130193045.392eb587@dragoncore.local
Re: Разное поведение Bind9 в Debian и Ubuntu
On Fri, Jan 30, 2015 at 07:30:45PM +0300, Andrey Tataranovich wrote: Воодушивившись, обновил wheezy и precise до актуального состояния. В wheezy сейчас 1:9.8.4.dfsg.P1-6+nmu2+deb7u3 и проблем с dnssec нету, а в precise - 1:9.8.1.dfsg.P1-4ubuntu0.9 и проблема осталась. Теперь дело за малым - сравнить исходники пакетов, найти какой патч в debian исправляет эту проблему и зарепортить его убунтуйцам. Андрей, JFYI, нашёл под рукой Ubuntu trusty с bind9 1:9.9.5.dfsg-3ubuntu0.1 для amd64, насколько я понимаю, проблем с резолвингом frogger.nl на этом хосте не наблюдается. Во всяком случае, в логах никакой ругани не видно, dig работает. Может, есть какой-то тесткейс для прямой проверки DNSSEC? -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20150130192636.gj3...@sie.protva.ru
Re: Разное поведение Bind9 в Debian и Ubuntu
Andrey Tataranovich - debian-russian@lists.debian.org @ Fri, 30 Jan 2015 16:40:01 +0300: Привет всем, Не могу разобраться почему один и тот же Bind9 по-разному себя ведет в Debian и Ubuntu. Речь идет о невозможности проверить DNSSEC для доменов, использующих wildcard. Больше подробностей тут: http://blog.tataranovich.com/2015/01/dnssec-validation-bind9-ubuntu-precise.html Слова got insecure response; parent indicates it should be secure мне как бы намекают о том, что содержимое пакета, приехавшего в ответ, слегка невалидно. Во всяком случает, так считает named. Я бы в первую очередь подозревал проблемы с libssl/etc. Можно попробовать перетащить bind9 и либы (по списку от ldd) с дебиана и проверить работающие бинарники. Возможно, в chroot. AT Под Ubuntu дебиановский bind9 нормально завелся в chroot и работает - AT хотя очень странно, если бы не работал.. AT Вот только подсовывать либы из ubuntu не получится из-за разных версий AT libc в debian и ubuntu. AT Может у кого-то еще есть идеи? Продолжая Женину мысль: покажи версии криптобиблиотек, с которыми оно слинковано там и там. В Wheezy это должно быть libcrypto.so.1.0.0 = /usr/lib/x86_64-linux-gnu/libcrypto.so.1.0.0 (0x7f5fb5a3a000) Я склонен заподозрить, что кто-то начал подписывать зону на эллиптических кривых или еще на чем-нибудь странном. Чего в убунте по той или иной причине не собрали. Ну, при условии, что тривиальные идиотские проблемы типа забыл на убунте обеспечить trusted root проверены и не наблюдаются... -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/8761bo1gw4@silver.lasgalen.net
Re: Разное поведение Bind9 в Debian и Ubuntu
On Fri, Jan 30, 2015 at 01:14:36PM +0300, Andrey Tataranovich wrote: Привет всем, Не могу разобраться почему один и тот же Bind9 по-разному себя ведет в Debian и Ubuntu. Речь идет о невозможности проверить DNSSEC для доменов, использующих wildcard. Больше подробностей тут: http://blog.tataranovich.com/2015/01/dnssec-validation-bind9-ubuntu-precise.html Слова got insecure response; parent indicates it should be secure мне как бы намекают о том, что содержимое пакета, приехавшего в ответ, слегка невалидно. Во всяком случает, так считает named. Я бы в первую очередь подозревал проблемы с libssl/etc. Можно попробовать перетащить bind9 и либы (по списку от ldd) с дебиана и проверить работающие бинарники. Возможно, в chroot. -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20150130104136.gh3...@sie.protva.ru
Разное поведение Bind9 в Debian и Ubuntu
Привет всем, Не могу разобраться почему один и тот же Bind9 по-разному себя ведет в Debian и Ubuntu. Речь идет о невозможности проверить DNSSEC для доменов, использующих wildcard. Больше подробностей тут: http://blog.tataranovich.com/2015/01/dnssec-validation-bind9-ubuntu-precise.html Версия Bind9 1:9.8.1.dfsg.P1-4 - в Debian и Ubuntu есть баги на эту тему (Ubuntu #1203976 и Debian #690569), но в Debian резолвит, а в Ubuntu - нет. Я пробовал сравнивать src пакет - никакой разницы не вижу. Пересборка пакета под Ubuntu дает ровно такой же результат. Кто-нибудь может объяснить такое поведение или может укажете, что я недоглядел? Пока для меня это мистика... -- WBR, Andrey Tataranovich -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20150130131436.19d30935@dragoncore.local
Re: Разное поведение Bind9 в Debian и Ubuntu
On Fri, 30 Jan 2015 13:41:36 +0300 Eugene Berdnikov b...@protva.ru wrote: On Fri, Jan 30, 2015 at 01:14:36PM +0300, Andrey Tataranovich wrote: Привет всем, Не могу разобраться почему один и тот же Bind9 по-разному себя ведет в Debian и Ubuntu. Речь идет о невозможности проверить DNSSEC для доменов, использующих wildcard. Больше подробностей тут: http://blog.tataranovich.com/2015/01/dnssec-validation-bind9-ubuntu-precise.html Слова got insecure response; parent indicates it should be secure мне как бы намекают о том, что содержимое пакета, приехавшего в ответ, слегка невалидно. Во всяком случает, так считает named. Я бы в первую очередь подозревал проблемы с libssl/etc. Можно попробовать перетащить bind9 и либы (по списку от ldd) с дебиана и проверить работающие бинарники. Возможно, в chroot. Спасибо за идею - попробую. -- WBR, Andrey Tataranovich -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20150130141344.5b9d29e4@dragoncore.local
Re: Разное поведение Bind9 в Debian и Ubuntu
On Fri, 30 Jan 2015 13:41:36 +0300 Eugene Berdnikov b...@protva.ru wrote: On Fri, Jan 30, 2015 at 01:14:36PM +0300, Andrey Tataranovich wrote: Привет всем, Не могу разобраться почему один и тот же Bind9 по-разному себя ведет в Debian и Ubuntu. Речь идет о невозможности проверить DNSSEC для доменов, использующих wildcard. Больше подробностей тут: http://blog.tataranovich.com/2015/01/dnssec-validation-bind9-ubuntu-precise.html Слова got insecure response; parent indicates it should be secure мне как бы намекают о том, что содержимое пакета, приехавшего в ответ, слегка невалидно. Во всяком случает, так считает named. Я бы в первую очередь подозревал проблемы с libssl/etc. Можно попробовать перетащить bind9 и либы (по списку от ldd) с дебиана и проверить работающие бинарники. Возможно, в chroot. Под Ubuntu дебиановский bind9 нормально завелся в chroot и работает - хотя очень странно, если бы не работал.. Вот только подсовывать либы из ubuntu не получится из-за разных версий libc в debian и ubuntu. Может у кого-то еще есть идеи? -- WBR, Andrey Tataranovich -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20150130164001.7083b75b@dragoncore.local