abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 16:00 | Zajímavý software

Steam Link je nově dostupný také pro 64bitový x86 Linux. Streamovat hry z výkonného počítače s nainstalovanou službou Steam lze tedy vedle telefonu, tabletu nebo televize i do počítače s Linuxem. Instalovat Steam Link lze z Flathubu. Od prosince 2018 je k dispozici Steam Link pro Raspberry Pi.

Ladislav Hagara | Komentářů: 0
včera 14:28 | Nová verze

openSUSE Leap 15.3 je od dnešního dne v Beta fázi. Toto vydání je zajímavé tím, že využívá binárních balíčků přímo ze SUSE Linux Enterprise. Podpora ARMv7 zařízení se odštěpila do samostatného podprojektu openSUSE Step. Instalační obrazy Leapu 15.3 jsou k nalezení na get.opensuse.org/testing. Pro ty, co se zapojí do Beta testování, čeká po skončení Beta fáze tričko. Více informací naleznete v oficiálním oznámení.

lkocman | Komentářů: 3
včera 10:00 | Nová verze

Byla vydána nová verze 8.5 sady aplikací pro SSH komunikaci OpenSSH. Opětovně se upozorňuje na blížící se zákaz algoritmu ssh-rsa kvůli možnému útoku na SHA-1.

Ladislav Hagara | Komentářů: 0
včera 09:44 | Pozvánky

Ako posunúť monitoring pomocou Zabbixu na vyššiu úroveň alebo "Čo nenájdete v out of the box inštalácii" odprezentuje séria Zabbix webinárov v slovenčine. Medzi témami nájdete napr. servisný strom, integráciu Openshift klastrov, monitoring SAP prostredia a iné.

gofree | Komentářů: 0
včera 09:00 | Komunita

Společnost Adobe oznámila, že končí s multiplatformním open source textovým editorem Brackets a jeho uživatelům doporučuje přechod na Visual Studio Code s rozšířením Brackets.

Ladislav Hagara | Komentářů: 6
včera 08:00 | Nová verze

Google Chrome 89 byl prohlášen za stabilní. Nejnovější stabilní verze 89.0.4389.72 přináší řadu oprav a vylepšení (YouTube). Zdůraznit je nutno WebHID, WebNFC a Web Serial aneb možnost komunikace například s Raspberry Pi Pico nebo Stream Deck přímo z Chrome. Vylepšeny byly také nástroje pro vývojáře (YouTube). Opraveno bylo 47 bezpečnostních chyb.

Ladislav Hagara | Komentářů: 2
včera 07:00 | Nová verze

Byla vydána verze 12.0.0 frameworku pro vývoj multiplatformních desktopových aplikací pomocí HTML, CSS a JavaScriptu Electron (Wikipedie, GitHub). Chromium bylo aktualizováno na verzi 89, V8 na verzi 8.9 a Node.js na verzi 14.16. Electron byl původně vyvíjen pro editor Atom pod názvem Atom Shell. Dnes je na Electronu postavena celá řada dalších aplikací.

Ladislav Hagara | Komentářů: 2
2.3. 23:33 | Bezpečnostní upozornění

Po zveřejnění informací o bezpečnostních chybách společně pojmenovaných BootHole v zavaděči GRUB 2 v červenci loňského roku se na bezpečnost zavádění a zvláště zavaděče GRUB 2 blíže podívala řada expertů. Dnes byly zveřejněny informace o nalezených bezpečnostních chybách (Ubuntu, Debian, Red Hat, SUSE, …).

Ladislav Hagara | Komentářů: 0
2.3. 14:44 | Nová verze

Komunita kolem Linuxu From Scratch (LFS) vydala Linux From Scratch 10.1 a Linux From Scratch 10.1 se systemd. Nové verze knih s návody na instalaci vlastního linuxového systému ze zdrojových kódů přichází s Glibc 2.33, Binutils 2.36.1 nebo Linuxem 5.10.17. Současně bylo oznámeno vydání verze 10.1 knih Beyond Linux From Scratch (BLFS) a Beyond Linux From Scratch se systemd.

Ladislav Hagara | Komentářů: 4
2.3. 12:44 | Nová verze

Byla vydána beta verze multiplatformního vývojového prostředí Arduino IDE 2.0. Přehled novinek i s náhledy v příspěvku na blogu. Arduino IDE 1.x je naprogramováno v Javě. Arduino IDE 2.x využívá Theia IDE a Electron.

Ladislav Hagara | Komentářů: 5
Vzděláváte se formou hromadných online kurzů (MOOC)?
 (57%)
 (9%)
 (0%)
 (7%)
 (27%)
Celkem 75 hlasů
 Komentářů: 0
Rozcestník

Instantní úvod do DNSSEC

26.11.2008 18:02 | Přečteno: 1791× | Výběrový blog

Včera jsem navštívil skvělé školení Ondřeje Surého na CZ.NIC pojednávající o technologii DNSSEC. Nebudu vás, potažmo sebe, trápit postupem podpisu zóny, protože je to celkem pakárna a hodí se to spíše na Lupu. Takže jen super krátký copy+paste postup na aktivaci DNSSEC na vašem nameserveru.

Pro jednoduchost předpokládám, že používáte Bind9, této podmínce vyhovuje Debian Etch a všechno novější. Popis bude orientován právě na Debian, ale samozřejmě je to jen o editaci několika souborů.

První krok je přidání pár klíčových slov do sekce options, u Debianu se jedná o soubor /etc/bind/named.conf.options, jinde většinou přímo /etc/bind/named.conf, příkazy se musí vložit dovnitř sekce začínající options {:

        dnssec-enable yes;
        //dnssec-validation yes; // tento příkaz v Debian Etch není, resp. je trvale aktivní
        dnssec-lookaside . trust-anchor dlv.isc.org.;

V tom samém souboru na konci sekce, tedy za }; vložíte další soubor:

include "/etc/bind/trusted.keys";

A tento soubor vytvoříte a naplníte těmito daty:

trusted-keys {
  "cz." 257 3 5
  "AwEAAdo9fGLzCyxz1yTlsHCT7JpHrg0q/yOlvDNg39n/gAUzg6H/5X9p
   jW6mpecJuZirIcPcRw5E7E8uR8g2ztH4uztoc/7ss01s3rTnEgXfilbd
   psEdXEuxIfhq+w6zL6PvCcE3qRSzsrc2//x/SXjWp8yeT4YY3W3kvB4Z
   g5ld0a8bAHBYo4ZY9x7a3qnqOhqunXSG8EfRPD9koUMgWCjdnFNR89L1
   5Bkzh+q1J7phTHIY5akKf3YnIB/5BnKmGBC7DimK4uSBLiBA3DLxHnvL
   ffMT5XtKKHuQ/uZ4IxHWqR2cpHz/6e2WaQvOVILwd0gk9lTCildBGjC7
   eNxOMnitkuM=" ;
};

trusted-keys {
    dlv.isc.org. 257 3 5 "BEAAAAPHMu/5onzrEE7z1egmhg/WPO0+juoZrW3euWEn4MxDCE1+lLy2
                        brhQv5rN32RKtMzX6Mj70jdzeND4XknW58dnJNPCxn8+jAGl2FZLK8t+
                        1uq4W+nnA3qO2+DL+k6BD4mewMLbIYFwe0PG73Te9fZ2kJb56dhgMde5
                        ymX4BI/oQ+cAK50/xvJv00Frf8kw6ucMTwFlgPe+jnGxPPEmHAte/URk
                        Y62ZfkLoBAADLHQ9IrS2tryAe7mbBZVcOwIeU/Rw/mRx/vwwMCTgNboM
                        QKtUdvNXDrYJDSHZws3xiRXF1Rf+al9UmZfSav/4NWLKjHzpT59k/VSt
                        TDN0YUuWrBNh";
};

Na obsahu tohoto souboru závisí bezpečnost celého řešení, takže klíče se snažte získat z důvěryhodných zdrojů, což není můj blog, takže z https://www.nic.cz/dnssec/ a https://www.isc.org/ops/dlv/, CZ.NIC dokonce uvažuje o vydání veřejné části tiskem v novinách v podobě inzerátu, což se mi jako nezávislý kanál moc líbí. Opravdu těžko vám někdo podvrhne několik různých typů padělaných novin.

Nyní již zbývá jen restart bindu a ověření, že to funguje:

dotaz> dig @server +dnssec  www.rhybar.cz

; <<>> DiG 9.4.2-P1 <<>> @server +dnssec www.rhybar.cz
; (9 servers found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 6093
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;www.rhybar.cz.                 IN      A

;; Query time: 142 msec
;; SERVER: 10.67.0.1#53(10.67.0.1)
;; WHEN: Wed Nov 26 17:52:08 2008
;; MSG SIZE  rcvd: 42

Tady musíte dostat SERVFAIL, pokud nedostanete, tak DNSSEC nefunguje správně, ta doména má schválně neplatný podpis a proto je s funkčním DNSSEC nedostupná. Potom nahodíte prohlížeč a budete se radovat ze zeleného klíčku na adrese https://www.nic.cz/dnssec/

A teď už budete jen sledovat /var/log/syslog na výskyt hlášek o podržených zónách a čekat až vám první uživatel vynadá, že něco nefunguje.

       

Hodnocení: 100 %

        špatnédobré        

Obrázky

Instantní úvod do DNSSEC, obrázek 1

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

Dragon Jake avatar 26.11.2008 23:17 Dragon Jake | blog: Drakův zápisník | Praha
Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC

Tu poslední konfigurační direktivu:

dnssec-lookaside . trust-anchor dlv.isc.org.;

prozatím silně nedoporučuji - jinak řečeno, nebude fungovat skoro nic a log se bude plnit hláškama secure failure. Popravdě nevím, jestli pak DNSSEC funguje stále stejně bezpečně a dobře, ale alespoň kontrola na nic.cz ukazuje, že ano :)

27.11.2008 01:10 Dan Ohnesorg | skóre: 29 | blog: Danuv patentovy blog | Rudná u Prahy
Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC

Tento radek s kontroly cz domeny v me konfiguraci vubec netyka, ta se validuje klicem vlozenym do toho souboru trusted.keys.

Pouzije se pro domeny, od kterych nemam jejich klic v konfiguraci, ale ktere DNSSEC pouzivaji a ulozili sve klice u ISC. Je to takove prechodne reseni do doby, nez bude podepsana  korenova domena  ".". Ten prikaz se muze opakovat nekolikrat a delegovat i jine domeny k validaci nekomu jinemu.

Uvidime za nejaky ten tyden, co vsechno se rozbilo a co ne.

 

I'm an Igor, thur. We don't athk quethtionth. Really? Why not? I don't know, thur. I didn't athk. TP -- Making Money
the.max avatar 26.11.2008 23:42 the.max | skóre: 46 | blog: Smetiště
Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC

skoda ze vyvojari okolo PowerDNS na implementaci DNSSEC kaslou, ale za bind prechazet nebudu. Zatim verim v lepsi zitrky a v to, ze se umoudri.

KERNEL ULTRAS Fan Team || Sabaton - nejlepší učitel dějepisu || Gentoo - dokud nás systemd nerozdělí.
27.11.2008 01:12 Dan Ohnesorg | skóre: 29 | blog: Danuv patentovy blog | Rudná u Prahy
Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC

Jeste je mozne pouzivat unbound.

Provoz jineho nameserveru nez bindu je chvalihodna cinnost, aby nelehl cely inet, az bude v bindu chybka.

 

I'm an Igor, thur. We don't athk quethtionth. Really? Why not? I don't know, thur. I didn't athk. TP -- Making Money
27.11.2008 06:53 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC
ale tam prece nikdy zadna chybka nebyla. :)
In Ada the typical infinite loop would normally be terminated by detonation.
27.11.2008 08:19 rastos | skóre: 62 | blog: rastos
Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC
Mohol by mi, prosím, niekto vysvetliť,
  • ako funguje ten test na https://www.nic.cz/dnssec/ ? Čo vlastne kontrolujú?
  • aké kľúče potrebujem do /etc/bind/trusted.keys ak nie som v .cz, ale napr. .sk alebo .org ?
  • prečo práve dlv.isc.org ?
27.11.2008 11:11 Dan Ohnesorg | skóre: 29 | blog: Danuv patentovy blog | Rudná u Prahy
Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC

 

Mohol by mi, prosím, niekto vysvetliť,
  • ako funguje ten test na https://www.nic.cz/dnssec/ ? Čo vlastne kontrolujú?
  • aké kľúče potrebujem do /etc/bind/trusted.keys ak nie som v .cz, ale napr. .sk alebo .org ?
  • prečo práve dlv.isc.org ?

 

  1. Tak mohl, ale prijdete o vsechnu zabavu pri zkoumani, jak to funguje. Jde tam o to, ze stahuji kaskadni styly z domeny s neplatnym podpisem a kdyz domena neni dostupna, tak je klicek zeleny, jinak cerveny.
  2. .org a .sk podpisy domen nepodporuji, takze tam muzete dat jen klic od DLV a validovat pres ne.
  3. Protoze ISC ma nejvetsi pocet klicu a je to duveryhodna seriozni organizace. Samozrejme repozitar muze provozovat kdokoliv, klidne muzete mit vlastni.
I'm an Igor, thur. We don't athk quethtionth. Really? Why not? I don't know, thur. I didn't athk. TP -- Making Money
27.11.2008 11:44 Milan Jurik | skóre: 21 | blog: Komentare | Ova
Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC

Vyborny je dokument od Alana Clegga z ISC - "DNSSEC in 6 minutes", dostupna prezentace na webu.

 Zrovna sedim na skoleni od ISC a vyzvidal jsem, jak to delaji s public key v .se. Ihren rikal, ze uzivaji odborne tisky i klasicke noviny a on ho ma i na fakturach, ktere posila :-) Proste na tolika mistech, aby podvrhuti klice bylo snadno odhalitelne pri porovnani s jinymi zdroji distribuce.

27.11.2008 13:28 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC

Zkoušel jsem to na bindu 9.4.2p2 na Gentoo a chovalo se to divně. Cokoliv v cz. se úspěšně přeložilo (i při chybným podpisu), přestože u všeho nadával, že RRSIG není platný, naopak ostatní domény v nepodepsaných TLD vždy selhaly.

Dnes jsem to zkusil na bindu 9.5.0 v Debianu a tam vše funguje jak má.

27.11.2008 14:56 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC

9.4.3 na Gentoo ten samý problém. Akorát koukám, že selhávají i domény 3. úrovně pod cz., které nejsou podepsané. Zkusil jsem přihodit dnssec-must-be-secure "." no;, jestli nejsou jinak nastavené výchozí hodnoty, ale ani to nepomohlo.

27.11.2008 16:15 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC

Aktualizoval jsem na 9.5.0p2 a problém zůstává.

Ale našel jsem příčinu: Na tomto serveru všechny dotazy přeposílám na další rekurzivní server, který DNSSEC neřeší, takže můj server nedostane údaje potřebné k ověření, a tak si stěžuje.

Tohle je nedostatek bindu nebo vlastnost DNSSEC?

27.11.2008 16:26 Foo Bar | skóre: 14
Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC

To záleží na tom, co znamená "DNSSEC neřeší", jsou dvě varianty:

A) ignoruje flag +DNSSEC OK a nevrací RRSIGy

B) jen nedělá validaci

Zkuste:

# dig CH TXT version.bind.

A pokud je to bind < 9.4, tak napište adminovi, ať zapne alespoň podporu DNSSECu bez validace.

27.11.2008 21:32 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC

Vzdálený server (bind 9.3.4-P1.1) nedělá ani jedno.

Mám tomu rozumět tak, že všechny rekurzivní servery po cestě musí podporovat rozšíření DNSSEC a vracet RRSIG automaticky a že koncový validující server nemá povinnost se na tyto záznamy dodatečně doptávat? (Protože když se digem zeptám na RRSIG, NSEC, DNSKEY, DS, tak jej vrátí.)

29.11.2008 10:59 Foo Bar | skóre: 14
Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC

Rozumíte tomu správně. Už teď je dost komplikovaná výměna klíčů kvůli různým časovým oknům, doptávání by to zkomplikovalo ještě mnohem více. Ale mělo by stačit:

a) přesvědčit admina, že 9.3 už není podporovaná verze bindu (podporují vždy aktuální a jednu verzi zpátky, tedy aktuálně 9.5 a 9.4) a ať upgradne (od 9.4 je dnssec standardně zapnutý)

b) přesvědčit admina, že dnssec-enable je neškodné (a pokud se nezapnou ty trust anchors, tak tomu tak je)

O.

P.S.: Aaaa, dá se někde vypnout ta javascriptová hrůza na editaci příspěvků?

29.11.2008 12:47 Milan Jurik | skóre: 21 | blog: Komentare | Ova
Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC

Oficialni konec podpory od ISC je az v pondeli ;-) A to neznaci, ze jini jej nepodporuji nadale pro sve zakazniky (ne kazdy si dovoli hodit pres palubu jen par let stary software s sirokym nasazenim).

P.S.: Souhlas, desna vec.

29.11.2008 19:44 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC
P.S.: Aaaa, dá se někde vypnout ta javascriptová hrůza na editaci příspěvků?
V nastavení (profilu) – tam co cookie, CSS, avataři atd. – lze wysiwyg editor vypnout.
30.11.2008 01:20 Foo Bar | skóre: 14
Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC
Už jsem to našel, ale díky za info.

Založit nové vláknoNahoru

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.