Re: bind и dnssec

To: debian-russian@lists.debian.org
Subject: Re: bind и dnssec
From: Artem Chuprina <ran@ran.pp.ru>
Date: Fri, 08 Jul 2011 10:16:19 +0400
Message-id: <[🔎] 878vs92t70.wl%ran@ran.pp.ru>
In-reply-to: <[🔎] 4E166641.9010409@sergio.spb.ru>
References: <[🔎] 4E166641.9010409@sergio.spb.ru>

> Как включить в бинде поддержку dnssec для резолвинга? Никаких рекомендаций
> в самом пакете я не нашёл, а в интырнетах предлагается содержать ключи руками.
> 
> Я сделал так:
> include "/etc/bind/bind.keys";
> в named.conf, и
> dnssec-enable yes;
> dnssec-validation yes;
> в named.conf.options
> 
> И это даже работает. Но мне не нравится, что написано в самом bind.keys. Как
> я понимаю, bind будет использовать это файл и без инклуда в named.conf и там
> предлагается скопировать подпись корневой зоны в named.conf. С другой стороны
> мне не нравится делать что либо руками, потому что я хочу автоматических
> обновлений, а ключи имеют свойство протухать.

Как показала недавняя проблема в RIPE, на тему автоматического обновления в
этом месте пока еще ничего не придумали.  И вообще DNSSEC, увы,
мертворожденный протокол.  Потому и используется уже много лет исключительно в
тестовом режиме.  То есть идея защищать DNS подписями сама по себе здравая, а
вот реализация - увы.  Как практически любая прикрутка безопасности к
существующей системе сбоку - будь то SMTP или HTTP.

-- 
админ имеет все возможные права, ряд невозможных и два невероятных
	http://bash.org.ru/quote/364473

Reply to:

Follow-Ups:
- Re: bind и dnssec
  - From: sergio <mailbox@sergio.spb.ru>

References:
- bind и dnssec
  - From: sergio <mailbox@sergio.spb.ru>

Prev by Date: Re: Свой репозиторий
Next by Date: Re: ssh bruteforce
Previous by thread: bind и dnssec
Next by thread: Re: bind и dnssec
Index(es):
- Date
- Thread