coltseavers
Goto Top

DNS nun aktualisiert oder nicht?

Hi ho,

ich betreibe auf ner älteren Debiankiste einen Bind, Version 9.8.4.

In der Konfig enthalten ist eine bind.keys

Darin enthalten:
# This file is NOT expected to be user-configured.
#
# These keys are current as of January 2011.  If any key fails to
# initialize correctly, it may have expired.  In that event you should
# replace this file with a current version.  The latest version of
# bind.keys can always be obtained from ISC at https://www.isc.org/bind-keys.

managed-keys {
        # ISC DLV: See https://www.isc.org/solutions/dlv for details.
        # NOTE: This key is activated by setting "dnssec-lookaside auto;"  
        # in named.conf.
        dlv.isc.org. initial-key 257 3 5 "BEAAAAPHMu/5onzrEE7z1egmhg/WPO0+juoZrW3euWEn4MxDCE1+lLy2  
                brhQv5rN32RKtMzX6Mj70jdzeND4XknW58dnJNPCxn8+jAGl2FZLK8t+
                1uq4W+nnA3qO2+DL+k6BD4mewMLbIYFwe0PG73Te9fZ2kJb56dhgMde5
                ymX4BI/oQ+cAK50/xvJv00Frf8kw6ucMTwFlgPe+jnGxPPEmHAte/URk
                Y62ZfkLoBAADLHQ9IrS2tryAe7mbBZVcOwIeU/Rw/mRx/vwwMCTgNboM
                QKtUdvNXDrYJDSHZws3xiRXF1Rf+al9UmZfSav/4NWLKjHzpT59k/VSt
                TDN0YUuWrBNh";  

        # ROOT KEY: See https://data.iana.org/root-anchors/root-anchors.xml
        # for current trust anchor information.
        # NOTE: This key is activated by setting "dnssec-validation auto;"  
        # in named.conf.
        . initial-key 257 3 8 "AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF  
                FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX
                bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD
                X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz
                W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS
                Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq
                QxA+Uk1ihz0=";  
};

Ich würd mal sagen da ist ein Update erforderlich.

Jetzt war die Überlegung, ob ich die Datei einfach durch die aktuelle Version ersetze, welche es übrigens hier gibt, oder ob ich das dem Bind überlasse. Dazu habe ich gelesen, dass ich dem Bind die Option "dnssec-validation auto;" in der lokalen Bind-Config setzen kann. Das habe ich getan und einen restart des Bind gemacht.

Offenbar hat er sich die Anweisung auch zu Herzen genommen, denn im Log steht:
 managed-keys-zone ./IN: Initializing automatic trust anchor management for zone '.'; DNSKEY ID 20326 is now trusted, waiving the normal 30-day waiting period.  
Klingt ja erstmal ganz gut, würd ich sagen, denn genau um den DNSKEY ID 20326 scheint es ja zu gehen.

Komischerweise hat sich die bind.keys aber nicht aktualisiert.

Ist nun alles gut, oder nicht?

Vielen Dank vorab!

Content-Key: 389141

Url: https://administrator.de/contentid/389141

Ausgedruckt am: 29.03.2024 um 15:03 Uhr

Mitglied: Tektronix
Tektronix 11.10.2018 um 10:45:42 Uhr
Goto Top
Mitglied: coltseavers
coltseavers 11.10.2018 um 11:17:24 Uhr
Goto Top
Moin,
das beantwortet die Frage nicht.