Re: bind и dnssec
> Как включить в бинде поддержку dnssec для резолвинга? Никаких рекомендаций
> в самом пакете я не нашёл, а в интырнетах предлагается содержать ключи руками.
>
> Я сделал так:
> include "/etc/bind/bind.keys";
> в named.conf, и
> dnssec-enable yes;
> dnssec-validation yes;
> в named.conf.options
>
> И это даже работает. Но мне не нравится, что написано в самом bind.keys. Как
> я понимаю, bind будет использовать это файл и без инклуда в named.conf и там
> предлагается скопировать подпись корневой зоны в named.conf. С другой стороны
> мне не нравится делать что либо руками, потому что я хочу автоматических
> обновлений, а ключи имеют свойство протухать.
Как показала недавняя проблема в RIPE, на тему автоматического обновления в
этом месте пока еще ничего не придумали. И вообще DNSSEC, увы,
мертворожденный протокол. Потому и используется уже много лет исключительно в
тестовом режиме. То есть идея защищать DNS подписями сама по себе здравая, а
вот реализация - увы. Как практически любая прикрутка безопасности к
существующей системе сбоку - будь то SMTP или HTTP.
--
админ имеет все возможные права, ряд невозможных и два невероятных
http://bash.org.ru/quote/364473
Reply to: