abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 16:22 | Nová verze

    Byla vydána verze 1.90.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.

    Ladislav Hagara | Komentářů: 0
    dnes 16:11 | Nová verze

    GNUnet (Wikipedie) byl vydán v nové major verzi 0.25.0. Jedná se o framework pro decentralizované peer-to-peer síťování, na kterém je postavena řada aplikací.

    Ladislav Hagara | Komentářů: 0
    dnes 12:11 | Nová verze

    Byla vydána nová major verze 7.0 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Nově je postavena je na Debianu 13 (Trixie) a GNOME 48 (Bengaluru). Další novinky v příslušném seznamu.

    Ladislav Hagara | Komentářů: 0
    dnes 04:44 | IT novinky

    Společnost Meta na dvoudenní konferenci Meta Connect 2025 představuje své novinky. První den byly představeny nové AI brýle: Ray-Ban Meta (Gen 2), sportovní Oakley Meta Vanguard a především Meta Ray-Ban Display s integrovaným displejem a EMG náramkem pro ovládání.

    Ladislav Hagara | Komentářů: 0
    dnes 01:11 | Nová verze

    Po půl roce vývoje od vydání verze 48 bylo vydáno GNOME 49 s kódovým názvem Brescia (Mastodon). S přehrávačem videí Showtime místo Totemu a prohlížečem dokumentů Papers místo Evince. Podrobný přehled novinek i s náhledy v poznámkách k vydání a v novinkách pro vývojáře.

    Ladislav Hagara | Komentářů: 4
    včera 16:22 | Nová verze

    Open source softwarový stack ROCm (Wikipedie) pro vývoj AI a HPC na GPU od AMD byl vydán ve verzi 7.0.0. Přidána byla podpora AMD Instinct MI355X a MI350X.

    Ladislav Hagara | Komentářů: 0
    včera 15:22 | Nová verze

    Byla vydána nová verze 258 správce systému a služeb systemd (GitHub).

    Ladislav Hagara | Komentářů: 5
    včera 15:11 | Nová verze

    Byla vydána Java 25 / JDK 25. Nových vlastností (JEP - JDK Enhancement Proposal) je 18. Jedná se o LTS verzi.

    Ladislav Hagara | Komentářů: 0
    včera 14:44 | Humor

    Věra Pohlová před 26 lety: „Tyhle aféry každého jenom otravují. Já bych všechny ty internety a počítače zakázala“. Jde o odpověď na anketní otázku deníku Metro vydaného 17. září 1999 na téma zneužití údajů o sporožirových účtech klientů České spořitelny.

    Ladislav Hagara | Komentářů: 8
    včera 11:33 | Zajímavý článek Ladislav Hagara | Komentářů: 0
    Jaké řešení používáte k vývoji / práci?
     (50%)
     (58%)
     (0%)
     (8%)
     (12%)
     (4%)
     (15%)
     (4%)
     (12%)
    Celkem 26 hlasů
     Komentářů: 3, poslední dnes 14:58
    Rozcestník

    Instantní úvod do DNSSEC

    26.11.2008 18:02 | Přečteno: 1888× | Výběrový blog

    Včera jsem navštívil skvělé školení Ondřeje Surého na CZ.NIC pojednávající o technologii DNSSEC. Nebudu vás, potažmo sebe, trápit postupem podpisu zóny, protože je to celkem pakárna a hodí se to spíše na Lupu. Takže jen super krátký copy+paste postup na aktivaci DNSSEC na vašem nameserveru.

    Pro jednoduchost předpokládám, že používáte Bind9, této podmínce vyhovuje Debian Etch a všechno novější. Popis bude orientován právě na Debian, ale samozřejmě je to jen o editaci několika souborů.

    První krok je přidání pár klíčových slov do sekce options, u Debianu se jedná o soubor /etc/bind/named.conf.options, jinde většinou přímo /etc/bind/named.conf, příkazy se musí vložit dovnitř sekce začínající options {:

            dnssec-enable yes;
            //dnssec-validation yes; // tento příkaz v Debian Etch není, resp. je trvale aktivní
            dnssec-lookaside . trust-anchor dlv.isc.org.;
    

    V tom samém souboru na konci sekce, tedy za }; vložíte další soubor:

    include "/etc/bind/trusted.keys";
    

    A tento soubor vytvoříte a naplníte těmito daty:

    trusted-keys {
      "cz." 257 3 5
      "AwEAAdo9fGLzCyxz1yTlsHCT7JpHrg0q/yOlvDNg39n/gAUzg6H/5X9p
       jW6mpecJuZirIcPcRw5E7E8uR8g2ztH4uztoc/7ss01s3rTnEgXfilbd
       psEdXEuxIfhq+w6zL6PvCcE3qRSzsrc2//x/SXjWp8yeT4YY3W3kvB4Z
       g5ld0a8bAHBYo4ZY9x7a3qnqOhqunXSG8EfRPD9koUMgWCjdnFNR89L1
       5Bkzh+q1J7phTHIY5akKf3YnIB/5BnKmGBC7DimK4uSBLiBA3DLxHnvL
       ffMT5XtKKHuQ/uZ4IxHWqR2cpHz/6e2WaQvOVILwd0gk9lTCildBGjC7
       eNxOMnitkuM=" ;
    };
    
    trusted-keys {
        dlv.isc.org. 257 3 5 "BEAAAAPHMu/5onzrEE7z1egmhg/WPO0+juoZrW3euWEn4MxDCE1+lLy2
                            brhQv5rN32RKtMzX6Mj70jdzeND4XknW58dnJNPCxn8+jAGl2FZLK8t+
                            1uq4W+nnA3qO2+DL+k6BD4mewMLbIYFwe0PG73Te9fZ2kJb56dhgMde5
                            ymX4BI/oQ+cAK50/xvJv00Frf8kw6ucMTwFlgPe+jnGxPPEmHAte/URk
                            Y62ZfkLoBAADLHQ9IrS2tryAe7mbBZVcOwIeU/Rw/mRx/vwwMCTgNboM
                            QKtUdvNXDrYJDSHZws3xiRXF1Rf+al9UmZfSav/4NWLKjHzpT59k/VSt
                            TDN0YUuWrBNh";
    };
    

    Na obsahu tohoto souboru závisí bezpečnost celého řešení, takže klíče se snažte získat z důvěryhodných zdrojů, což není můj blog, takže z https://www.nic.cz/dnssec/ a https://www.isc.org/ops/dlv/, CZ.NIC dokonce uvažuje o vydání veřejné části tiskem v novinách v podobě inzerátu, což se mi jako nezávislý kanál moc líbí. Opravdu těžko vám někdo podvrhne několik různých typů padělaných novin.

    Nyní již zbývá jen restart bindu a ověření, že to funguje:

    dotaz> dig @server +dnssec  www.rhybar.cz
    
    ; <<>> DiG 9.4.2-P1 <<>> @server +dnssec www.rhybar.cz
    ; (9 servers found)
    ;; global options:  printcmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 6093
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
    
    ;; OPT PSEUDOSECTION:
    ; EDNS: version: 0, flags: do; udp: 4096
    ;; QUESTION SECTION:
    ;www.rhybar.cz.                 IN      A
    
    ;; Query time: 142 msec
    ;; SERVER: 10.67.0.1#53(10.67.0.1)
    ;; WHEN: Wed Nov 26 17:52:08 2008
    ;; MSG SIZE  rcvd: 42
    
    

    Tady musíte dostat SERVFAIL, pokud nedostanete, tak DNSSEC nefunguje správně, ta doména má schválně neplatný podpis a proto je s funkčním DNSSEC nedostupná. Potom nahodíte prohlížeč a budete se radovat ze zeleného klíčku na adrese https://www.nic.cz/dnssec/

    A teď už budete jen sledovat /var/log/syslog na výskyt hlášek o podržených zónách a čekat až vám první uživatel vynadá, že něco nefunguje.

           

    Hodnocení: 100 %

            špatnédobré        

    Obrázky

    Instantní úvod do DNSSEC, obrázek 1

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    Dragon Jake avatar 26.11.2008 23:17 Dragon Jake | blog: Drakův zápisník | Praha
    Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC

    Tu poslední konfigurační direktivu:

    dnssec-lookaside . trust-anchor dlv.isc.org.;
    

    prozatím silně nedoporučuji - jinak řečeno, nebude fungovat skoro nic a log se bude plnit hláškama secure failure. Popravdě nevím, jestli pak DNSSEC funguje stále stejně bezpečně a dobře, ale alespoň kontrola na nic.cz ukazuje, že ano :)

    27.11.2008 01:10 Dan Ohnesorg | skóre: 29 | blog: Danuv patentovy blog | Rudná u Prahy
    Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC

    Tento radek s kontroly cz domeny v me konfiguraci vubec netyka, ta se validuje klicem vlozenym do toho souboru trusted.keys.

    Pouzije se pro domeny, od kterych nemam jejich klic v konfiguraci, ale ktere DNSSEC pouzivaji a ulozili sve klice u ISC. Je to takove prechodne reseni do doby, nez bude podepsana  korenova domena  ".". Ten prikaz se muze opakovat nekolikrat a delegovat i jine domeny k validaci nekomu jinemu.

    Uvidime za nejaky ten tyden, co vsechno se rozbilo a co ne.

     

    I'm an Igor, thur. We don't athk quethtionth. Really? Why not? I don't know, thur. I didn't athk. TP -- Making Money
    the.max avatar 26.11.2008 23:42 the.max | skóre: 46 | blog: Smetiště
    Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC

    skoda ze vyvojari okolo PowerDNS na implementaci DNSSEC kaslou, ale za bind prechazet nebudu. Zatim verim v lepsi zitrky a v to, ze se umoudri.

    KERNEL ULTRAS Fan Team || Sabaton - nejlepší učitel dějepisu || Gentoo - dokud nás systemd nerozdělí.
    27.11.2008 01:12 Dan Ohnesorg | skóre: 29 | blog: Danuv patentovy blog | Rudná u Prahy
    Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC

    Jeste je mozne pouzivat unbound.

    Provoz jineho nameserveru nez bindu je chvalihodna cinnost, aby nelehl cely inet, az bude v bindu chybka.

     

    I'm an Igor, thur. We don't athk quethtionth. Really? Why not? I don't know, thur. I didn't athk. TP -- Making Money
    27.11.2008 06:53 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC
    ale tam prece nikdy zadna chybka nebyla. :)
    In Ada the typical infinite loop would normally be terminated by detonation.
    27.11.2008 08:19 rastos | skóre: 63 | blog: rastos
    Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC
    Mohol by mi, prosím, niekto vysvetliť,
    • ako funguje ten test na https://www.nic.cz/dnssec/ ? Čo vlastne kontrolujú?
    • aké kľúče potrebujem do /etc/bind/trusted.keys ak nie som v .cz, ale napr. .sk alebo .org ?
    • prečo práve dlv.isc.org ?
    27.11.2008 11:11 Dan Ohnesorg | skóre: 29 | blog: Danuv patentovy blog | Rudná u Prahy
    Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC

     

    Mohol by mi, prosím, niekto vysvetliť,
    • ako funguje ten test na https://www.nic.cz/dnssec/ ? Čo vlastne kontrolujú?
    • aké kľúče potrebujem do /etc/bind/trusted.keys ak nie som v .cz, ale napr. .sk alebo .org ?
    • prečo práve dlv.isc.org ?

     

    1. Tak mohl, ale prijdete o vsechnu zabavu pri zkoumani, jak to funguje. Jde tam o to, ze stahuji kaskadni styly z domeny s neplatnym podpisem a kdyz domena neni dostupna, tak je klicek zeleny, jinak cerveny.
    2. .org a .sk podpisy domen nepodporuji, takze tam muzete dat jen klic od DLV a validovat pres ne.
    3. Protoze ISC ma nejvetsi pocet klicu a je to duveryhodna seriozni organizace. Samozrejme repozitar muze provozovat kdokoliv, klidne muzete mit vlastni.
    I'm an Igor, thur. We don't athk quethtionth. Really? Why not? I don't know, thur. I didn't athk. TP -- Making Money
    27.11.2008 11:44 Milan Jurik | skóre: 21 | blog: Komentare | Ova
    Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC

    Vyborny je dokument od Alana Clegga z ISC - "DNSSEC in 6 minutes", dostupna prezentace na webu.

     Zrovna sedim na skoleni od ISC a vyzvidal jsem, jak to delaji s public key v .se. Ihren rikal, ze uzivaji odborne tisky i klasicke noviny a on ho ma i na fakturach, ktere posila :-) Proste na tolika mistech, aby podvrhuti klice bylo snadno odhalitelne pri porovnani s jinymi zdroji distribuce.

    27.11.2008 13:28 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC

    Zkoušel jsem to na bindu 9.4.2p2 na Gentoo a chovalo se to divně. Cokoliv v cz. se úspěšně přeložilo (i při chybným podpisu), přestože u všeho nadával, že RRSIG není platný, naopak ostatní domény v nepodepsaných TLD vždy selhaly.

    Dnes jsem to zkusil na bindu 9.5.0 v Debianu a tam vše funguje jak má.

    27.11.2008 14:56 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC

    9.4.3 na Gentoo ten samý problém. Akorát koukám, že selhávají i domény 3. úrovně pod cz., které nejsou podepsané. Zkusil jsem přihodit dnssec-must-be-secure "." no;, jestli nejsou jinak nastavené výchozí hodnoty, ale ani to nepomohlo.

    27.11.2008 16:15 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC

    Aktualizoval jsem na 9.5.0p2 a problém zůstává.

    Ale našel jsem příčinu: Na tomto serveru všechny dotazy přeposílám na další rekurzivní server, který DNSSEC neřeší, takže můj server nedostane údaje potřebné k ověření, a tak si stěžuje.

    Tohle je nedostatek bindu nebo vlastnost DNSSEC?

    27.11.2008 16:26 Foo Bar | skóre: 14
    Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC

    To záleží na tom, co znamená "DNSSEC neřeší", jsou dvě varianty:

    A) ignoruje flag +DNSSEC OK a nevrací RRSIGy

    B) jen nedělá validaci

    Zkuste:

    # dig CH TXT version.bind.

    A pokud je to bind < 9.4, tak napište adminovi, ať zapne alespoň podporu DNSSECu bez validace.

    27.11.2008 21:32 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC

    Vzdálený server (bind 9.3.4-P1.1) nedělá ani jedno.

    Mám tomu rozumět tak, že všechny rekurzivní servery po cestě musí podporovat rozšíření DNSSEC a vracet RRSIG automaticky a že koncový validující server nemá povinnost se na tyto záznamy dodatečně doptávat? (Protože když se digem zeptám na RRSIG, NSEC, DNSKEY, DS, tak jej vrátí.)

    29.11.2008 10:59 Foo Bar | skóre: 14
    Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC

    Rozumíte tomu správně. Už teď je dost komplikovaná výměna klíčů kvůli různým časovým oknům, doptávání by to zkomplikovalo ještě mnohem více. Ale mělo by stačit:

    a) přesvědčit admina, že 9.3 už není podporovaná verze bindu (podporují vždy aktuální a jednu verzi zpátky, tedy aktuálně 9.5 a 9.4) a ať upgradne (od 9.4 je dnssec standardně zapnutý)

    b) přesvědčit admina, že dnssec-enable je neškodné (a pokud se nezapnou ty trust anchors, tak tomu tak je)

    O.

    P.S.: Aaaa, dá se někde vypnout ta javascriptová hrůza na editaci příspěvků?

    29.11.2008 12:47 Milan Jurik | skóre: 21 | blog: Komentare | Ova
    Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC

    Oficialni konec podpory od ISC je az v pondeli ;-) A to neznaci, ze jini jej nepodporuji nadale pro sve zakazniky (ne kazdy si dovoli hodit pres palubu jen par let stary software s sirokym nasazenim).

    P.S.: Souhlas, desna vec.

    29.11.2008 19:44 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC
    P.S.: Aaaa, dá se někde vypnout ta javascriptová hrůza na editaci příspěvků?
    V nastavení (profilu) – tam co cookie, CSS, avataři atd. – lze wysiwyg editor vypnout.
    30.11.2008 01:20 Foo Bar | skóre: 14
    Rozbalit Rozbalit vše Re: Instantní úvod do DNSSEC
    Už jsem to našel, ale díky za info.

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.