[linux-support] DNSSEC SOA und NSEC
Markus Wernig
wernigm at lugbe.ch
Fri Aug 1 21:29:44 CEST 2014
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Hi all
Spiele mich gerade mit dnssec rum. Auf dem Server scheint soweit alles
zu klappen, aber dann komme ich an zwei Probleme, die ich nicht verstehe:
Zone: wernig.priv.at
(es gibt noch keinen DS entry bei priv.at)
Keys (Key-signing und Zone-signing key erstellt)
Keys in der Zonendefinition included ($include /path/to/key)
Zone signiert (dnssec-signzone -o wernig.priv.at -k $ksk \
/var/named/wernig.priv.at.zone $zsk
/var/named/wernig.priv.at.zone.signed generiert und in named.conf für
wernig.priv.at eingetragen.
Soweit, so gut. Anfragen für A-Records kommen auch brav signiert zurück:
host -a web01.wernig.priv.at
...
;; ANSWER SECTION:
web01.wernig.priv.at. 43200 IN RRSIG NSEC 5 4 43200
20140831160225 20140801160225 64278 wernig.priv.at.
Pp5uOgds42XyEmj6nNlrz+RMwlPeKwmatFZaiTPU2HKHxfrUZ7bblvoy
W+AvlV/escFUueSPwbAAKWHEuofktC45JFdS0UUbTEbWOcNHac/h/dyF
aE5S9XbhZT7zacG3dfcfIu+qnHQTRxpSXC0qK8RZlxvSTl75HnRnW9ox FdU=
web01.wernig.priv.at. 43200 IN NSEC web02.wernig.priv.at.
A RRSIG NSEC
web01.wernig.priv.at. 43200 IN RRSIG A 5 4 43200
20140831160225 20140801160225 64278 wernig.priv.at.
GXrkL05YpVdpdoTiNEHG8KU2kXfeHQlmsYE/eplJH4vi2khTi6s2pXJR
zlqTMqXJpVvjLgYrjb70t6hzpLKO7xpD2xcqivSr4dr1CJQxhuVXa0NA
W6rPIw1+zJCA0XNyvbJv1gVKaqAVD4IXRGGRBONYolmmWcX8NsfnJLeK 4TI=
web01.wernig.priv.at. 43200 IN A 217.11.218.163
Soweit gut, 64278 ist der ZSK.
1. Problem: Da oben kommt auch ein NSEC record "web02.wernig.priv.at"
mit, und mir leuchtet nicht ein, warum. Im signierten Zonenfile steht
der auch so drin:
web02.wernig.priv.at. 43200 IN A 217.11.218.164
43200 RRSIG A 5 4 43200 (
20140831181027 20140801181027 64278 wernig.priv.at.
DuKCIPCPGewTKVbX8w3DMsVtQ75szc1iXeKB
Usv/6zRTt4HfQKrjDIqCs2d+apnnKheLhC1c
8mQJTZWG5H4Mx8ThpWd9IYuxnwrBS6L0zGWG
P0Np2dM+CFQkgE4/5dyVrDrs/lbt2GjL5+eI
nHOPSQcEUntSiwyOjhHGZHm1B1w= )
43200 NSEC www.wernig.priv.at. A RRSIG NSEC
43200 RRSIG NSEC 5 4 43200 (
20140831181027 20140801181027 64278 wernig.priv.at.
DOprCZshcUgpGzykl3kHOTo5U7ob/IRrf4HD
cVagcq+hY8N68foEeenYHo0fK1f1K9cayVN/
sawlFN1aUgLaCMVkNHI/CDsyk8cHwtj06Z50
RlvxJyBqsBXzctDVOqLfKKtBKEfuU+ZGNSYs
AGwTHAK51DZ/YA8ISKrPBZdcSuk= )
Aber wieso? In dem Zonenfile, das signiert wurde, sieht das ganz
normal aus:
$ORIGIN wernig.priv.at.
@ IN SOA ns1.wernig.priv.at. info.xfer.ch. (
...
web01 A 217.11.218.163
web02 A 217.11.218.164
Wo kommt der Eintrag her??? Das selbe Phänomen tritt bei allen
A-Records auf, nur ist der zweite dann immer ein anderer Record ...
2. Problem:
host -a -t soa wernig.priv.at
gibt imemr nur den normalen SOA record aus, ohne die entsprechenden
RRSIG und DNSKEY records ...
nur wenn ich explizit die RRSIG auch anfrage, kommen sie mit:
host -a -t soa -t rrsig wernig.priv.at
Das sollte doch auch nicht so sein, oder?
Hat hier vielleicht jemand einen erleuchtenden Schimmer, was hier
passiert?
lg /markus
- --
Markus Wernig
Präsident LugBE
GPG: 8E82E4DC
- ---------------------------------------------
Linux User Group Bern - http://lugbe.ch
- ---------------------------------------------
-----BEGIN PGP SIGNATURE-----
iQIVAwUBU9vqqPesxiCOguTcAQh9cw/+Nl0DNi/rUl78iziX/BYb5vX/j+32XL65
Io7rwW2n5kgoxWv/HhTmxhsanS9CQ2LGzK44GbNr91/0OqX53okuGU8Ed17X7AUr
9LzoY1GeIxl2MPHgcBzW13A5VZ7sbwnLVfgswL8+IVhGcmeuwD3LcVhhQf3P4Z5j
bD+LP+3v3K88abluU9ZDE9/3pZlAkE+ddST3b546DEOuZ7svCzvx0RSXGg7cqn9a
55P8Cvbcmdi44kojvmjBezMOK8Rkf36sQd/m30FKPqSEVlmzVFXnExR9ZiUGqYwy
qFYssqhWtc/s0l8y8lnlAXPz69q3ypsX1hQlUOKcHrwfQGSXkc/BbdA8pgN4OE4J
9wQkoD3z3BXzwnFi7thyr6ltc8fH5CzNtX/dXs5ugUp6ZTeDEHgxtSmF75vTTYEA
MGAzd7fCCi471ZoOH8bNViwlI10cuf7B+5GOWTKUaVTVVAdcQXHbN3rlMpbnZnqr
9RalsF83a6UfrrFKfQsTqXYGYlT9+FZkTUQeeWD+S98ZZF/LGoxg9SW1gP0/c49P
7/KJJLsLcdan06vBbaaJvf5do/RDOLO1QOiVKBQ0e4Sgs+NL+vBp/LBPxB6B9+uI
zde9FLo5k++7VfKqfyN5MlSBaoLgeznPIsK/eGJUX3bfU3K7TaHVL7A2mkEWzYTv
kba7MXb0T3Y=
=Wv7F
-----END PGP SIGNATURE-----
More information about the Linux-support
mailing list