Vyšla nová verze Knot Resolveru

4. 7. 2018

Laboratoře CZ.NIC vydaly novou verzi Knot Resolveru (2.4.0). Toto vydání přináší řadu nových funkcí. Ty umožňují například agresivní cachování pro NSEC3 zóny, podporují znovunavázání TLS spojení podle RFC 5077 nebo dovolují použití defaultního systémového úložiště pro certifikáty (při použití TLS_FORWARD). Novinkami jsou také volitelná ochrana před DNS rebinding útokem a modul bogus_log pro logování nesprávných DNSSEC dotazů.

Vedle těchto vylepšení byla v nové verzi opravena bezpečnostní chyba, která mohla ve vzácných případech vést k degradaci podepsané zóny na nezabezpečenou. Více informací je k dispozici na webu Knot Resolveru.

Tato zprávička byla zaslána čtenářem serveru Root.cz pomocí formuláře Přidat zprávičku. Děkujeme!

Našli jste v článku chybu?

Zasílat nově přidané názory e-mailem

Aktualita je stará, nové názory již nelze přidávat.

4. 7. 2018 12:34

janci (neregistrovaný)

na domacom routry pouzivam dnsmasq.
dalo by sa to skonfigurovat tak ze dnsmasq by pouzil knot resolver.
dnsmasq chcem kvoli tomu ze resolvuje lokalne hostname a IP ktore rozdava cez dhcp.
vdaka
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
4. 7. 2018 13:07

Vladimír Čunát

Stříbrný podporovatel

Obecně ano, prostě stačí nastavit dnsmasq aby forwardoval tam kde běží ten knot-resolver ;-) (defaultně forwarduje nejspíš na servery od ISP) Samozřejmě záleží jaké možnosti nastavení router podporuje – na levných myslím vídám jen možnost aby router přes DHCP rozdával jiné DNS servery než svou adresu.

Jinak pro Turris Omnia máme skripty které tahají DHCP jména z dnsmasq a strkají je do resolveru. (Myslím i pro Unbound to je implementované kvůli Turris 1.x.)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
4. 7. 2018 15:45

ja (neregistrovaný)

> Jinak pro Turris Omnia máme skripty které tahají DHCP jména z dnsmasq a strkají je do resolveru

Je k tomuto nejake dalsie info? Ja som svojho casu na Omnii resolver vypol a dnsmasq zapol prave preto, ze lokalnu DNS som potreboval a DNSSEC mi zas az tak moc nechybal.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
4. 7. 2018 15:49

Vladimír Čunát

Stříbrný podporovatel

Pokud vím, stačí zaškrnout jeden checkbox a funguje to: https://demo.turris.cz/foris/config/main/dns/

V reálné Omnii se tam po zaškrtnutí ještě objeví řádka kde jde změnit kde budou ta jména umístěna (default je *.lan).
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
4. 7. 2018 16:17

ja (neregistrovaný)

Ked mi v roku 2016 konecne prisla Omnia, bol som rad, ze som to nejako rozchodil. Vo Forrise mi na stranke DNS nefungovalo absolutne nic, iba ukazovalo chyby pri testoch (neboli tam nahodou povodne 4?). Odvtedy som tam nebol...

Ten popis je tam trochu skromny. Respektuje to komplet konfiguraciu dnsmasq (vratane PTR, SRV a TXT - nutne pre DNS-SD), alebo iba A/AAAA pre hostov z DHCP?
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
4. 7. 2018 16:23

Vladimír Čunát

Stříbrný podporovatel

Ne, přidá to pouze dvojice jméno-adresa z DHCP, což knot-resolver namapuje na dopředné i PTR záznamy. Jiné typy záznamů s DHCP pokud vím nesouvisí. (Mám navíc podezření, že z DHCPv6 se teď nic netahá, protože to se nedělá přes dnsmasq.)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
4. 7. 2018 17:10

ja (neregistrovaný)

Dakujem za info.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
7. 7. 2018 11:59

mhepp (neregistrovaný)

Na zacatku jsem mel kombinaci dnsmasq a unbound nastavenou tak, dnsmasq bezel na jinem portu a unbound na nej predaval dotazy na lokalni domenu. Nyni mam pouze unbound a ten mi staci, nemam komplikovanou domaci sit.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
7. 7. 2018 12:25

Vladimír Čunát

Stříbrný podporovatel

Ano, tak to taky jde, ať už s Unboundem nebo Knot-resolverem.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
7. 7. 2018 19:44

Aladar (neregistrovaný)

Hlavne sa skus doucit gramatiku...
- Zobrazit celé vlákno