Re: Разное поведение Bind9 в Debian и Ubuntu
Andrey Tataranovich -> debian-russian@lists.debian.org @ Fri, 30 Jan 2015 16:40:01 +0300:
>> > Привет всем,
>> >
>> > Не могу разобраться почему один и тот же Bind9 по-разному себя
>> > ведет в Debian и Ubuntu. Речь идет о невозможности проверить DNSSEC
>> > для доменов, использующих wildcard.
>> >
>> > Больше подробностей тут:
>> > http://blog.tataranovich.com/2015/01/dnssec-validation-bind9-ubuntu-precise.html
>>
>> Слова "got insecure response; parent indicates it should be secure"
>> мне как бы намекают о том, что содержимое пакета, приехавшего в
>> ответ, слегка невалидно. Во всяком случает, так считает named. Я бы в
>> первую очередь подозревал проблемы с libssl/etc.
>>
>> Можно попробовать перетащить bind9 и либы (по списку от ldd) с
>> дебиана и проверить работающие бинарники. Возможно, в chroot.
AT> Под Ubuntu дебиановский bind9 нормально завелся в chroot и работает -
AT> хотя очень странно, если бы не работал..
AT> Вот только подсовывать либы из ubuntu не получится из-за разных версий
AT> libc в debian и ubuntu.
AT> Может у кого-то еще есть идеи?
Продолжая Женину мысль: покажи версии криптобиблиотек, с которыми оно
слинковано там и там. В Wheezy это должно быть
libcrypto.so.1.0.0 => /usr/lib/x86_64-linux-gnu/libcrypto.so.1.0.0 (0x00007f5fb5a3a000)
Я склонен заподозрить, что кто-то начал подписывать зону на
эллиптических кривых или еще на чем-нибудь странном. Чего в убунте по
той или иной причине не собрали.
Ну, при условии, что тривиальные идиотские проблемы типа "забыл на
убунте обеспечить trusted root" проверены и не наблюдаются...
Reply to: