abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 17:25 | IT novinky

Do prodeje (Farnell) se dostal jednodeskový počítač Tinker Board (unboxing). Jedná se o konkurenci Raspberry Pi 3 od společnosti Asus. Porovnání (jpg) těchto počítačů například na CNXSoft. Cena Tinker Boardu je 55 £.

Ladislav Hagara | Komentářů: 7
včera 14:44 | Zajímavý projekt

Byla zveřejněna pravidla hackerské soutěže Pwn2Own 2017, jež proběhne od 15. do 17. března v rámci bezpečnostní konference CanSecWes ve Vancouveru. Soutěžit se bude o více než milion dolarů v pěti kategoriích. Letos se bude útočit i na Ubuntu. Jedná se již o 10. ročník této soutěže.

Ladislav Hagara | Komentářů: 1
včera 13:33 | Nová verze

Po sedmi měsících vývoje od vydání verze 5.7 byla vydána verze 5.8 (YouTube) toolkitu Qt. Z novinek lze zmínit například Qt Lite pro vestavěná zařízení. Nově jsou plně podporovány moduly Qt Wayland Compositor (YouTube) a Qt SCXML (YouTube). Současně byla vydána verze 4.2.1 integrovaného vývojového prostředí (IDE) Qt Creator.

Ladislav Hagara | Komentářů: 1
včera 11:52 | Pozvánky

Lednový Prague Containers Meetup se koná ve čtvrtek 26. ledna 2017 od 18:00 v Apiary, Pernerova 49, Praha 8. Přijďte se podívat na přednášky o Enterprise Kubernetes a Jenkins as a code.

little-drunk-jesus | Komentářů: 0
včera 11:40 | Pozvánky

Program letošního ročníku konference Prague PostgreSQL Developer Days, která se koná již 15. a 16. února 2017 na ČVUT FIT, Thákurova 9, Praha 6, byl dnes zveřejněn. Najdete ho na stránkách konference včetně anotací přednášek a školení. Registrace na konferenci bude otevřena zítra (24. ledna) v brzkých odpoledních hodinách.

TomasVondra | Komentářů: 0
22.1. 02:20 | Zajímavý článek

David Revoy, autor open source webového komiksu Pepper&Carrot nebo portrétu GNU/Linuxu, upozorňuje na svém blogu, že nový Inkscape 0.92 rozbíjí dokumenty vytvořené v předchozích verzích Inkscape. Problém by měl být vyřešen v Inkscape 0.92.2 [reddit].

Ladislav Hagara | Komentářů: 0
22.1. 02:02 | Komunita

Øyvind Kolås, hlavní vývojář grafických knihoven GEGL a babl, které využívá grafický program GIMP, žádá o podporu na Patreonu. Díky ní bude moci pracovat na vývoji na plný úvazek. Milník 1000 $, který by stačil na holé přežití, se již téměř podařilo vybrat, dalším cílem je dosažení 2500 $, které mu umožní běžně fungovat ve společnosti.

xkomczax | Komentářů: 12
21.1. 23:54 | Pozvánky

DevConf.cz 2017, již devátý ročník jedné z největších akcí zaměřených na Linux a open source ve střední Evropě, proběhne od pátku 27. ledna do neděle 29. ledna v prostorách Fakulty informačních technologií Vysokého učení technického v Brně. Na programu je celá řada zajímavých přednášek a workshopů. Letos je povinná registrace.

Ladislav Hagara | Komentářů: 0
21.1. 22:11 | Nová verze

Byla vydána verze 1.0.0 emulátoru terminálu Terminology postaveného nad EFL (Enlightenment Foundation Libraries). Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
20.1. 17:00 | Nová verze

Byl vydán Docker 1.13. Přehled novinek na YouTube a v poznámkách k vydání na GitHubu. Docker umožňuje běh aplikací v softwarových kontejnerech (Wikipedia).

Ladislav Hagara | Komentářů: 7
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (11%)
 (2%)
 (73%)
 (3%)
 (10%)
Celkem 387 hlasů
 Komentářů: 31, poslední včera 19:19
Rozcestník
Reklama

Dotaz: Bind + DNSSEC + priznak AD

31.12.2009 23:42 Lubos Kopecky | skóre: 32
Bind + DNSSEC + priznak AD
Přečteno: 345×
Ahoj,

rozchazel jsem si DNSSEC podle navodu na dnssec.cz na Bindu 9.6.

Prvni cast - zapnuti DNS a zobrazeni zeleneho klice na jejich stranach probehla v pohode.

Druha cast - podepsani vybrane domeny probehla taky v pohode - dig +dnssec domena.cz ci domena.org mi vrati podepsane zaznamy.

Treti cast - cesta az k pevnemu bodu duvery se mi nezdarila (v ramci testovani mit zelenou ikonku na http://www.dnssec.cz/whois v casti "Zabezpeceno pomoci DNSSEC").

Zkusil sem projit nekolikrat krok po kroku web dnssec.cz i prezentaci v pdf, ktera je na techto strankach umistena, ale na nic, co by vyresilo muj problem, jsem nenarazil. Vzdy skoncim u zobrazeni priznaku "AD", ktery se mi nikdy neukaze (predpokladam, ze to je tento duvod, proc neni pak domena dale overena jako podepsana).

Zkousel jsem i pridat zaznam do DLV, ktere mne overilo a sem tam "zeleny", ale tez to nepomohlo. V trusted-keys mam klic jak pro korenovou domenu cz, tak dlv.isic.org.

Testoval jsem to na jedne domene .cz a jedne .org, ale ani jednou priznak "AD".

Nema nekdo z vlastni zkusenosti nejaky napad cim by to mohlo byt, co bych mohl mit asi spatne nastaveno?

Dekuji, Lubos

Odpovědi

1.1.2010 12:35 NN
Rozbalit Rozbalit vše Re: Bind + DNSSEC + priznak AD
Skusil bych se obratit na lidi z NIC-u ty stm maji dost zkusenosti, ja zadne..

NN
1.1.2010 12:35 Lubos Kopecky | skóre: 32
Rozbalit Rozbalit vše Re: Bind + DNSSEC + priznak AD
tak uz sem konecne zelenej - ono to chtelo jeste pridat KEYSET k forpsi (memu registratoru) a nasledne jeste priradit klic k domene - nejak sem prehlidnul (mozna jen ne dukladne cetl a pak se jiz nevratil) web http://www.dnssec.cz/page/565/jak-zprovoznit-dnssec/ , kde je napsano "Pokud nevíte, kdo je registrátor Vaší domény, použijte službu WHOIS registru domén .cz. Do textového pole vepište název Vaší domény, odešlete a ve výsledku, který se objeví, najdete registrátora v poli Určený registrátor." - v tu chvili mi docvaklo, kde ze je zakopany pes a jakym smerem se jeste dosmerovat...

1.1.2010 12:55 Lubos Kopecky | skóre: 32
Rozbalit Rozbalit vše Re: Bind + DNSSEC + priznak AD
v tuhle chvili by mne tedy jiz jen zajimalo, jak poznam krom vypisu na http://www.dnssec.cz/whois nebo v administraci https://dlv.isc.org/ pro domeny mimo .cz, ze je domena jako zabezpecena pomoci dnssec propagovana do Internetu - puvodne jsem si myslel, ze mi to bude znacit ten flag "AD", ale ten nedokazi dostat pomoci "dig +dnssec domena.ltd" od zadne zapezpecene domeny (ne jen tech, ktere jsem podepsal ja, ale i jinych);

3.1.2010 23:38 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Bind + DNSSEC + priznak AD

Pokud chcete zjistit, jestli daná doména má být podepsaná, zeptejte se na záznam DS.

Pokud chcete „důkaz“, že poskytnutá odpověď byla rekurzivním validujícím serverem ověřena, je nutné, aby všechny DNS servery po cestě (v terminologii Bindu forwarders) podporovaly rozšíření EDNS. Jinak se příznaku ad nedočkáte a kromě toho váš server bude do logu křičet, že rodič neumí EDNS.

4.1.2010 00:18 Lubos Kopecky | skóre: 32
Rozbalit Rozbalit vše Re: Bind + DNSSEC + priznak AD
Na DS se ptam presne jak to je v pdf-prezentaci na dnssec.cz, pricemz se ptam rovnou toho dns-serveru, na ktery poskytuje moje dns-zaznamy pro vybranou domenu:
dig +norec domain.ltd @ns.postkujici-moje-dns-zaznamy.ltd ds
Je to takto spravne nebo mam v zapise chybu?

Prave z duvodu, ze vsechny servery po ceste dle mne dnssec (potazmo tedy i EDNS) nemaji, tak sem se ptal primo dns-serveru, ktery ty moje zaznamy jako nejhlavnejsi poskytuje do Internetu. Je to dostacujici nebo i vsechny dns-servery po ceste k od meho dns-serveru k memu registratorovi (v mem pripade forpsi) musi dnssec + EDNS umet, aby domena mohla byt overena? To same se tyka i dlv-repozitaru, ze vsechny servery mezi mym dns-server a dlv-serverem musi toto podporovat?

dekuji
4.1.2010 00:48 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Bind + DNSSEC + priznak AD

DS záznamy ale žijí v nadřazené zóně. Jsou tam proto, protože potvrzují pravost veřejných klíčů uložených v delegované zóně. Takže potřebujete dotaz dig -t DS domain.ltd @ns.ltd. (A tu část určující konkrétní server můžete vynechat.)

EDNS je potřeba jen na serverech, které provádějí překlad na něčí žádost (typicky na celé cestě dotazu mezi klientem a autoritativním serverem), protože DNSSEC je postaven tak, že servery musí samy vracet k požadovaným záznamům i jejich podpisy a tazatelé nemají povinnost obcházet odpovídatele, kteří tak nečiní (například neumí EDNS). To všechno proto, aby se už tak pomalé DNS nebrzdilo dodatečnými dotazy navíc (asi jako když server automaticky přihazuje glue záznamy).

Pokud máte doménu druhého řádu pod cz., tak si na testovacím validujícm resolveru vypněte všechny forwardery, vyprázdněte cache a testujte. Pak by jste měl být být omezen jen schopnostmi autoritativních serverů CZ.NIC a vaší domény. (Za předpokladu, že všechny autoritativní servery vaší domény máte pod palcem, ne že si necháváte hostovat slavy u někoho, kdo má vypnutý EDNS.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.