Re: bind и dnssec
On 07/09/2011 04:25 PM, Степан Голосунов wrote: /var/cache/bind/managed-keys.bind содержится автоматически. OK. Я правильно понял, что в будущем initial-key можно будет удалить? И ещё, в named.conf.local у меня прописана forward зона: zone zone { type forward; forwarders { IP; }; }; после включения dnssec она перестала работать. Это баг? С локальной зоной при этом всё в порядке: zone netboot { type master; file /etc/bind/db.netboot; }; -- sergio. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4e197940.5030...@sergio.spb.ru
Re: bind и dnssec
Как включить в бинде поддержку dnssec для резолвинга? Никаких рекомендаций в самом пакете я не нашёл, а в интырнетах предлагается содержать ключи руками. Я сделал так: include /etc/bind/bind.keys; в named.conf, и dnssec-enable yes; dnssec-validation yes; в named.conf.options И это даже работает. Но мне не нравится, что написано в самом bind.keys. Как я понимаю, bind будет использовать это файл и без инклуда в named.conf и там предлагается скопировать подпись корневой зоны в named.conf. С другой стороны мне не нравится делать что либо руками, потому что я хочу автоматических обновлений, а ключи имеют свойство протухать. Как показала недавняя проблема в RIPE, на тему автоматического обновления в этом месте пока еще ничего не придумали. И вообще DNSSEC, увы, мертворожденный протокол. Потому и используется уже много лет исключительно в тестовом режиме. То есть идея защищать DNS подписями сама по себе здравая, а вот реализация - увы. Как практически любая прикрутка безопасности к существующей системе сбоку - будь то SMTP или HTTP. -- админ имеет все возможные права, ряд невозможных и два невероятных http://bash.org.ru/quote/364473 -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/878vs92t70.wl%...@ran.pp.ru
Re: bind и dnssec
On 07/08/2011 10:16 AM, Artem Chuprina wrote: Как практически любая прикрутка безопасности к существующей системе сбоку - будь то SMTP или HTTP. А что имеется ввиду под боком для SMTP или HTTP? -- sergio. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4e16bc13.5030...@sergio.spb.ru
Re: bind и dnssec
On Птн, 2011-07-08 at 12:13 +0400, sergio wrote: On 07/08/2011 10:16 AM, Artem Chuprina wrote: Как практически любая прикрутка безопасности к существующей системе сбоку - будь то SMTP или HTTP. А что имеется ввиду под боком для SMTP или HTTP? ИМХО, Артем имел ввиду ситуацию, когда изначально несекьюрный протокол пытаются сделать секьюрным, и при этом сохранить совместимость со старыми клиентами. Получается при этом известно что - UNIX (ТМ). -- Stanislav
bind и dnssec
Всем привет. Как включить в бинде поддержку dnssec для резолвинга? Никаких рекомендаций в самом пакете я не нашёл, а в интырнетах предлагается содержать ключи руками. Я сделал так: include /etc/bind/bind.keys; в named.conf, и dnssec-enable yes; dnssec-validation yes; в named.conf.options И это даже работает. Но мне не нравится, что написано в самом bind.keys. Как я понимаю, bind будет использовать это файл и без инклуда в named.conf и там предлагается скопировать подпись корневой зоны в named.conf. С другой стороны мне не нравится делать что либо руками, потому что я хочу автоматических обновлений, а ключи имеют свойство протухать. -- sergio. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4e166641.9010...@sergio.spb.ru