abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 01:00 | IT novinky

Bylo vydáno RFC 8484 řešící posílání DNS dotazů a získávání DNS odpovědí přes protokol HTTPS (DoH, DNS over HTTPS). V aktuálních verzích Firefoxu je DoH ve výchozím nastavení zakázáno. Povolit jej lze v about:config změnou hodnoty network.trr.mode (Trusted Recursive Resolver). V srpnu zveřejnila Mozilla výsledky experimentu s DNS přes HTTPS ve Firefoxu Nightly.

Ladislav Hagara | Komentářů: 1
19.10. 13:00 | Komunita

Při prvním spuštění Ubuntu 18.04 LTS (Bionic Beaver) je spuštěn nástroj Ubuntu Report. Pokud uživatel souhlasí, jsou pomocí tohoto nástroje odeslány do Canonicalu informace o daném počítači (doba instalace, počet procesorů, rozlišení displeje, velikost paměti, časová zóna, ...). V červnu byly zveřejněny první statistiky. Podrobnější statistiky jsou nově k dispozici na samostatné stránce.

Ladislav Hagara | Komentářů: 11
19.10. 01:00 | Pozvánky

O víkendu probíhá v Košicích pravidelné setkání příznivců otevřených technologií OSS Víkend. Na programu je řada zajímavých přednášek a workshopů.

Ladislav Hagara | Komentářů: 0
19.10. 00:11 | Nová verze

Byla vydána nová verze 1.3 otevřeného, licenčními poplatky nezatíženého, univerzálního ztrátového formátu komprese zvuku Opus (Wikipedie) a jeho referenční implementace libopus. Vylepšena byla například detekce, zda se jedná o řeč nebo o hudbu. Přidána byla podpora prostorového zvuku (immersive audio) dle plánovaného RFC 8486. Podrobnosti a zvukové ukázky na demo stránce.

Ladislav Hagara | Komentářů: 0
18.10. 22:33 | Nová verze

Bylo vydáno Ubuntu 18.10 s kódovým názvem Cosmic Cuttlefish (Kosmická sépie). Ke stažení jsou Ubuntu Desktop a Server, Ubuntu Cloud Images, Ubuntu Netboot, Kubuntu, Lubuntu a Lubuntu Alternate, Ubuntu Budgie, Ubuntu Kylin, Ubuntu MATE, Ubuntu Studio a Xubuntu. Podrobnosti v poznámkách k vydání.

Ladislav Hagara | Komentářů: 2
18.10. 18:33 | Nová verze

Byl vydán PostgreSQL ve verzi 11.0. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
18.10. 17:33 | IT novinky

Nadace Raspberry Pi představila na svém blogu Raspberry Pi TV HAT, tj. rozšíření jednodeskového počítače Raspberry Pi umožňující příjem televizního vysílání DVB-T a DVB-T2. Cena rozšíření je 21,50 $.

Ladislav Hagara | Komentářů: 8
18.10. 17:07 | Nová verze

Vychází OpenBSD 6.4. Z řady novinek namátkou: podpora dalších architektur (arm64 např. dostal z Linuxu vypůjčený ovladač radeondrm), hypervizor vmm podporuje i qcow2 disky a šablony, jádro dokáže automaticky přepínat mezi dostupnými bezdrátovými sítěmi, sítě pracují o něco efektivněji, z bezpečnosti „přísaha byla doplněna odhalením“ (pledge(2) lze vhodně doplnit pomocí unveil(2)), SMT je ve výchozím stavu vypnutý, ale lze jej zapnout. Syntaxe nastaveni OpenSMTPD se změnila. S vydáním vychází také nová verze LibreSSL - 2.8.2.

Daniel Čižinský | Komentářů: 5
17.10. 23:15 | IT novinky

Firma Raptor Computing Systems, která stojí také za pracovní stanicí Talos II, představila levnější desku Blackbird s podporou jednoho 4-/8jádrového CPU POWER9 Sforza a formátem microATX; bližší specifikace jsou ve wiki výrobce.

Fluttershy, yay! | Komentářů: 30
17.10. 22:11 | Zajímavý projekt

Byla vydána verze 1.0 svobodné federalizované platformy pro sledování a sdílení videí, alternativy YouTube s podporou P2P, PeerTube (Wikipedie). Za vývojem PeerTube stojí nezisková organizace Framasoft snažící se mimo jiné nahradit svými svobodnými Frama službami služby společnosti Google (De-google-ify Internet).

Ladislav Hagara | Komentářů: 1
Přispíváte osobně k vývoji svobodného softwaru?
 (39%)
 (43%)
 (25%)
 (22%)
 (11%)
 (36%)
Celkem 267 hlasů
 Komentářů: 13, poslední včera 16:39
Rozcestník

Instantní úvod do DNSSEC

26.11.2008 18:02 | Přečteno: 1726× | Výběrový blog

Včera jsem navštívil skvělé školení Ondřeje Surého na CZ.NIC pojednávající o technologii DNSSEC. Nebudu vás, potažmo sebe, trápit postupem podpisu zóny, protože je to celkem pakárna a hodí se to spíše na Lupu. Takže jen super krátký copy+paste postup na aktivaci DNSSEC na vašem nameserveru.

Pro jednoduchost předpokládám, že používáte Bind9, této podmínce vyhovuje Debian Etch a všechno novější. Popis bude orientován právě na Debian, ale samozřejmě je to jen o editaci několika souborů.

První krok je přidání pár klíčových slov do sekce options, u Debianu se jedná o soubor /etc/bind/named.conf.options, jinde většinou přímo /etc/bind/named.conf, příkazy se musí vložit dovnitř sekce začínající options {:

        dnssec-enable yes;
        //dnssec-validation yes; // tento příkaz v Debian Etch není, resp. je trvale aktivní
        dnssec-lookaside . trust-anchor dlv.isc.org.;

V tom samém souboru na konci sekce, tedy za }; vložíte další soubor:

include "/etc/bind/trusted.keys";

A tento soubor vytvoříte a naplníte těmito daty:

trusted-keys {
  "cz." 257 3 5
  "AwEAAdo9fGLzCyxz1yTlsHCT7JpHrg0q/yOlvDNg39n/gAUzg6H/5X9p
   jW6mpecJuZirIcPcRw5E7E8uR8g2ztH4uztoc/7ss01s3rTnEgXfilbd
   psEdXEuxIfhq+w6zL6PvCcE3qRSzsrc2//x/SXjWp8yeT4YY3W3kvB4Z
   g5ld0a8bAHBYo4ZY9x7a3qnqOhqunXSG8EfRPD9koUMgWCjdnFNR89L1
   5Bkzh+q1J7phTHIY5akKf3YnIB/5BnKmGBC7DimK4uSBLiBA3DLxHnvL
   ffMT5XtKKHuQ/uZ4IxHWqR2cpHz/6e2WaQvOVILwd0gk9lTCildBGjC7
   eNxOMnitkuM=" ;
};

trusted-keys {
    dlv.isc.org. 257 3 5 "BEAAAAPHMu/5onzrEE7z1egmhg/WPO0+juoZrW3euWEn4MxDCE1+lLy2
                        brhQv5rN32RKtMzX6Mj70jdzeND4XknW58dnJNPCxn8+jAGl2FZLK8t+
                        1uq4W+nnA3qO2+DL+k6BD4mewMLbIYFwe0PG73Te9fZ2kJb56dhgMde5
                        ymX4BI/oQ+cAK50/xvJv00Frf8kw6ucMTwFlgPe+jnGxPPEmHAte/URk
                        Y62ZfkLoBAADLHQ9IrS2tryAe7mbBZVcOwIeU/Rw/mRx/vwwMCTgNboM
                        QKtUdvNXDrYJDSHZws3xiRXF1Rf+al9UmZfSav/4NWLKjHzpT59k/VSt
                        TDN0YUuWrBNh";
};

Na obsahu tohoto souboru závisí bezpečnost celého řešení, takže klíče se snažte získat z důvěryhodných zdrojů, což není můj blog, takže z https://www.nic.cz/dnssec/ a https://www.isc.org/ops/dlv/, CZ.NIC dokonce uvažuje o vydání veřejné části tiskem v novinách v podobě inzerátu, což se mi jako nezávislý kanál moc líbí. Opravdu těžko vám někdo podvrhne několik různých typů padělaných novin.

Nyní již zbývá jen restart bindu a ověření, že to funguje:

dotaz> dig @server +dnssec  www.rhybar.cz

; <<>> DiG 9.4.2-P1 <<>> @server +dnssec www.rhybar.cz
; (9 servers found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 6093
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;www.rhybar.cz.                 IN      A

;; Query time: 142 msec
;; SERVER: 10.67.0.1#53(10.67.0.1)
;; WHEN: Wed Nov 26 17:52:08 2008
;; MSG SIZE  rcvd: 42

Tady musíte dostat SERVFAIL, pokud nedostanete, tak DNSSEC nefunguje správně, ta doména má schválně neplatný podpis a proto je s funkčním DNSSEC nedostupná. Potom nahodíte prohlížeč a budete se radovat ze zeleného klíčku na adrese https://www.nic.cz/dnssec/

A teď už budete jen sledovat /var/log/syslog na výskyt hlášek o podržených zónách a čekat až vám první uživatel vynadá, že něco nefunguje.

       

Hodnocení: 100 %

        špatnédobré        

Obrázky

Instantní úvod do DNSSEC, obrázek 1

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

Dragon Jake avatar 26.11.2008 23:17 Dragon Jake | blog: Drakův zápisník | Praha
Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC

Tu poslední konfigurační direktivu:

dnssec-lookaside . trust-anchor dlv.isc.org.;

prozatím silně nedoporučuji - jinak řečeno, nebude fungovat skoro nic a log se bude plnit hláškama secure failure. Popravdě nevím, jestli pak DNSSEC funguje stále stejně bezpečně a dobře, ale alespoň kontrola na nic.cz ukazuje, že ano :)

In this land we've defended from all things dark and cruel, now we are defenseless in a land where dragons rule!
27.11.2008 01:10 Dan Ohnesorg | skóre: 29 | blog: Danuv patentovy blog | Rudná u Prahy
Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC

Tento radek s kontroly cz domeny v me konfiguraci vubec netyka, ta se validuje klicem vlozenym do toho souboru trusted.keys.

Pouzije se pro domeny, od kterych nemam jejich klic v konfiguraci, ale ktere DNSSEC pouzivaji a ulozili sve klice u ISC. Je to takove prechodne reseni do doby, nez bude podepsana  korenova domena  ".". Ten prikaz se muze opakovat nekolikrat a delegovat i jine domeny k validaci nekomu jinemu.

Uvidime za nejaky ten tyden, co vsechno se rozbilo a co ne.

 

I'm an Igor, thur. We don't athk quethtionth. Really? Why not? I don't know, thur. I didn't athk. TP -- Making Money
the.max avatar 26.11.2008 23:42 the.max | skóre: 46 | blog: Smetiště
Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC

skoda ze vyvojari okolo PowerDNS na implementaci DNSSEC kaslou, ale za bind prechazet nebudu. Zatim verim v lepsi zitrky a v to, ze se umoudri.

KERNEL ULTRAS Fan Team || Sabaton - nejlepší učitel dějepisu || Gentoo - dokud nás systemd nerozdělí.
27.11.2008 01:12 Dan Ohnesorg | skóre: 29 | blog: Danuv patentovy blog | Rudná u Prahy
Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC

Jeste je mozne pouzivat unbound.

Provoz jineho nameserveru nez bindu je chvalihodna cinnost, aby nelehl cely inet, az bude v bindu chybka.

 

I'm an Igor, thur. We don't athk quethtionth. Really? Why not? I don't know, thur. I didn't athk. TP -- Making Money
27.11.2008 06:53 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC
ale tam prece nikdy zadna chybka nebyla. :)
In Ada the typical infinite loop would normally be terminated by detonation.
27.11.2008 08:19 rastos | skóre: 61 | blog: rastos
Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC
Mohol by mi, prosím, niekto vysvetliť,
  • ako funguje ten test na https://www.nic.cz/dnssec/ ? Čo vlastne kontrolujú?
  • aké kľúče potrebujem do /etc/bind/trusted.keys ak nie som v .cz, ale napr. .sk alebo .org ?
  • prečo práve dlv.isc.org ?
27.11.2008 11:11 Dan Ohnesorg | skóre: 29 | blog: Danuv patentovy blog | Rudná u Prahy
Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC

 

Mohol by mi, prosím, niekto vysvetliť,
  • ako funguje ten test na https://www.nic.cz/dnssec/ ? Čo vlastne kontrolujú?
  • aké kľúče potrebujem do /etc/bind/trusted.keys ak nie som v .cz, ale napr. .sk alebo .org ?
  • prečo práve dlv.isc.org ?

 

  1. Tak mohl, ale prijdete o vsechnu zabavu pri zkoumani, jak to funguje. Jde tam o to, ze stahuji kaskadni styly z domeny s neplatnym podpisem a kdyz domena neni dostupna, tak je klicek zeleny, jinak cerveny.
  2. .org a .sk podpisy domen nepodporuji, takze tam muzete dat jen klic od DLV a validovat pres ne.
  3. Protoze ISC ma nejvetsi pocet klicu a je to duveryhodna seriozni organizace. Samozrejme repozitar muze provozovat kdokoliv, klidne muzete mit vlastni.
I'm an Igor, thur. We don't athk quethtionth. Really? Why not? I don't know, thur. I didn't athk. TP -- Making Money
27.11.2008 11:44 Milan Jurik | skóre: 21 | blog: Komentare | Ova
Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC

Vyborny je dokument od Alana Clegga z ISC - "DNSSEC in 6 minutes", dostupna prezentace na webu.

 Zrovna sedim na skoleni od ISC a vyzvidal jsem, jak to delaji s public key v .se. Ihren rikal, ze uzivaji odborne tisky i klasicke noviny a on ho ma i na fakturach, ktere posila :-) Proste na tolika mistech, aby podvrhuti klice bylo snadno odhalitelne pri porovnani s jinymi zdroji distribuce.

27.11.2008 13:28 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC

Zkoušel jsem to na bindu 9.4.2p2 na Gentoo a chovalo se to divně. Cokoliv v cz. se úspěšně přeložilo (i při chybným podpisu), přestože u všeho nadával, že RRSIG není platný, naopak ostatní domény v nepodepsaných TLD vždy selhaly.

Dnes jsem to zkusil na bindu 9.5.0 v Debianu a tam vše funguje jak má.

27.11.2008 14:56 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC

9.4.3 na Gentoo ten samý problém. Akorát koukám, že selhávají i domény 3. úrovně pod cz., které nejsou podepsané. Zkusil jsem přihodit dnssec-must-be-secure "." no;, jestli nejsou jinak nastavené výchozí hodnoty, ale ani to nepomohlo.

27.11.2008 16:15 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC

Aktualizoval jsem na 9.5.0p2 a problém zůstává.

Ale našel jsem příčinu: Na tomto serveru všechny dotazy přeposílám na další rekurzivní server, který DNSSEC neřeší, takže můj server nedostane údaje potřebné k ověření, a tak si stěžuje.

Tohle je nedostatek bindu nebo vlastnost DNSSEC?

27.11.2008 16:26 Ondřej Surý | skóre: 14
Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC

To záleží na tom, co znamená "DNSSEC neřeší", jsou dvě varianty:

A) ignoruje flag +DNSSEC OK a nevrací RRSIGy

B) jen nedělá validaci

Zkuste:

# dig CH TXT version.bind.

A pokud je to bind < 9.4, tak napište adminovi, ať zapne alespoň podporu DNSSECu bez validace.

Nehledejte zlý úmysl tam, kde je dostatečným vysvětlením hloupost.
27.11.2008 21:32 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC

Vzdálený server (bind 9.3.4-P1.1) nedělá ani jedno.

Mám tomu rozumět tak, že všechny rekurzivní servery po cestě musí podporovat rozšíření DNSSEC a vracet RRSIG automaticky a že koncový validující server nemá povinnost se na tyto záznamy dodatečně doptávat? (Protože když se digem zeptám na RRSIG, NSEC, DNSKEY, DS, tak jej vrátí.)

29.11.2008 10:59 Ondřej Surý | skóre: 14
Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC

Rozumíte tomu správně. Už teď je dost komplikovaná výměna klíčů kvůli různým časovým oknům, doptávání by to zkomplikovalo ještě mnohem více. Ale mělo by stačit:

a) přesvědčit admina, že 9.3 už není podporovaná verze bindu (podporují vždy aktuální a jednu verzi zpátky, tedy aktuálně 9.5 a 9.4) a ať upgradne (od 9.4 je dnssec standardně zapnutý)

b) přesvědčit admina, že dnssec-enable je neškodné (a pokud se nezapnou ty trust anchors, tak tomu tak je)

O.

P.S.: Aaaa, dá se někde vypnout ta javascriptová hrůza na editaci příspěvků?

Nehledejte zlý úmysl tam, kde je dostatečným vysvětlením hloupost.
29.11.2008 12:47 Milan Jurik | skóre: 21 | blog: Komentare | Ova
Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC

Oficialni konec podpory od ISC je az v pondeli ;-) A to neznaci, ze jini jej nepodporuji nadale pro sve zakazniky (ne kazdy si dovoli hodit pres palubu jen par let stary software s sirokym nasazenim).

P.S.: Souhlas, desna vec.

29.11.2008 19:44 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC
P.S.: Aaaa, dá se někde vypnout ta javascriptová hrůza na editaci příspěvků?
V nastavení (profilu) – tam co cookie, CSS, avataři atd. – lze wysiwyg editor vypnout.
30.11.2008 01:20 Ondřej Surý | skóre: 14
Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC
Už jsem to našel, ale díky za info.
Nehledejte zlý úmysl tam, kde je dostatečným vysvětlením hloupost.

Založit nové vláknoNahoru

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.