Vlákno názorů k článku DNSSEC s BIND 9.9 snadno a rychle od djarck - Vdaka za skvely clanok! Mal by som par otazok,...
-
djarck (neregistrovaný)
Vdaka za skvely clanok!
Mal by som par otazok, ak viete niekto poradit.
Nejaku dobu spat sa doporucoval tusim powerdns ako autoritativny
nameserver (myslim, ze prave autor clanku ho doporucoval)
a myslim, ze to bolo prave z dovodu inline signingu.
Rozumiem tomu spravne, ze v tejto chvili sa vlastnosti bindu
a powerdns "vyrovnali" z pohladu DNSsecu a signingu?Ina vec vec bola v oblasti rekurzivneho nameservera, tam
bol tusim powerdns recurzor z pohladu DNSsecu nie velmi
dobre a doporucoval sa tusim knot (alebo to bol djdns?).Ked to zhrniem, zaujimalo by ma, ake je v tejto chvili doporucenie,
ze ktory nameserver sa z pohladu DNSsecu hodi najlepsie na nasadenie
ako autoritativneho NS a ktory ako rekurzivneho? -
Ondřej CaletkaZlatý podporovatelZačnu rekurzivními servery. Z těch FOSS umí DNSSEC jen dva - BIND a Unbound, oba zhruba stejně dobře, o jiných tak nemá cenu uvažovat. Tedy do chvíle, než CZ.NIC Labs prohlásí Knot DNS Resolver alias kresd za stabilní.
U autoritativních serverů je situace složitější. Obecně se nedá nic zkazit použitím DNS serverů, které jsou používány pro kořenové DNS servery. Tam se z OSS používá BIND, NSD a Knot DNS.
PowerDNS jsem pokud vím nikdy nedoporučoval, už jen z toho důvodu, že jsem to nikdy ani neinstaloval. Ale slyšel jsem, že podpora online podepisování je tam na velmi dobré úrovni a pro menší nasazení, kde nejsou extrémní požadavky na počet odpovědí za sekundu to nejspíš může vyhovovat.
Rozhodně bych se doporučoval vyhnout softwaru Tinydnssec, což je fork djbdns. Jeden velký český hoster ho nasadil a pak zplakal (resp. spíše komunita zplakala) nad nevalidními daty, které to v jistých okrajových případech (neexistující jméno pokryté žolíkem) generuje.
-
djarck (neregistrovaný)
Mate pravdu, bol to unbound (a nie knot ani djdns) pre dnssec rekurzor, dakujem.
Mozno ten PowerDNS ste nie ze doporucoval, ale v podstate ste tusim (v tom case)
pisali, ze je to jediny autoritativny NS, co vie podpisovat on-the-fly, ale tak uz
to asi nie je dolezite teraz. Asi to bolo spomenute niekde na Installfeste 2014.Este by som sa chcel spytat na doporucenie resp. skusenost.
Zvazujem, ze presuniem konfiguraciu DNS do nejakej DB, ci uz SQL alebo LDAP.
Co som pozeral, tak LDAP vie jedine PowerDNS, ale nie je uz oficialne
supportovany. Ostava teda SQL backend pre BIND alebo PowerDNS.Mate nejaku skusenost alebo informacie o tom, ako funguje on-the-fly podpisovanie
s DB backendami? -
Ondřej CaletkaZlatý podporovatel
Zkušenosti s použitím databáze nemám. Osobně bych doporučoval se takovému přístupu spíše vyhýbat, právě kvůli vazbě takového řešení na jeden konkrétní software. Pokud je vám jedno, jestli to bude LDAP, nebo SQL, tak nepoužívejte ani jedno a místo toho zvolte jako databázi obyčejné DNS s dynamickými updaty. Opět je možné nabrat inspiraci u doménových registrů, kde je část spravována periodickým generováním zónových souborů (tohle dělá třeba FRED od CZ.NIC), část dynamickými updaty (tak se to používá třeba v RIPE NCC pro reverzní delegace).
-
Ondřej CaletkaZlatý podporovatel
Pokud se nepletu, tak PSQL je backend pro Freda, registrační systém. Z něj se každou půlhodinu vygeneruje obyčejný zónový soubor, ten se pomocí dalších nástrojů podepíše DNSSECem a vystaví na obyčejný master server, odkud si ho přeberou slave servery.
