Tout ce qui concerne internet
Répondre

Mettre le bit SEP pour DNSKEY

#1Messageil y a 2 ans

Salut à tous,

Depuis peu je rencontre un problème avec knot-resolver il m'indique qu'il manque le bit SEP et je ne c'est pas comment le mettre, il y a aussi une demande de mise à jour de package avec des ancres de confiance
voici le status du service:

● kresd@1.service - Knot Resolver daemon
     Loaded: loaded (/usr/lib/systemd/system/kresd@.service; enabled; vendor preset: disabled)
     Active: active (running) since Wed 2022-01-12 13:06:11 CET; 1h 42min ago
       Docs: man:kresd.systemd(7)
             man:kresd(8)
   Main PID: 4439 (kresd)
      Tasks: 1 (limit: 9229)
     Memory: 14.1M
        CPU: 943ms
     CGroup: /system.slice/system-kresd.slice/kresd@1.service
             └─4439 /usr/bin/kresd -c /usr/lib/knot-resolver/distro-preconfig.lua -c /etc/knot-resolver/kresd.conf -n

janv. 12 13:06:11 amande-laptop systemd[1]: Starting Knot Resolver daemon...
janv. 12 13:06:11 amande-laptop kresd[4439]: [ta    ] warning: . DNSKEY is missing the SEP bit; flags 256 instead of 257
janv. 12 13:06:11 amande-laptop systemd[1]: Started Knot Resolver daemon.
janv. 12 13:06:11 amande-laptop kresd[4439]: [taupd ] you need to update package with trust anchors in "/etc/trusted-key.key" before it breaks
janv. 12 14:06:15 amande-laptop kresd[4439]: [taupd ] you need to update package with trust anchors in "/etc/trusted-key.key" before it breaks
S'il vous plait, quelqu'un peut-il m'aider ?
Dernière modification par robmc14il y a 2 ans, modifié au total 1 fois.

Mettre le bit SEP pour DNSKEY

#2Messageil y a 2 ans

Salut,
Le premier message n'est qu'une alerte, ce n'est pas obligatoirement inquiétant, pour le second, c'est étonnant, les "trusted-keys" sont fournies par le paquet dnssec-anchors dont la version est de 2019.

J'utilise unbound avec les mêmes "trusted-keys" et je n'ai rien trouvé, que ce soit avec systemctl ou avec le journal.

edit :
Je viens de vérifier :

drill sigfail.verteiltesysteme.net|grep rcode                                                             
;; ->>HEADER<<- opcode: QUERY, rcode: SERVFAIL, id: 16624    
Si la signature du serveur est mauvaise, j'ai bien un "SERVFAIL",

 drill sigok.verteiltesysteme.net|grep rcode                                                               
;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 33722 
si elle est bonne, j'ai bien un "NOERROR", donc ça fonctionne correctement.

Mettre le bit SEP pour DNSKEY

#3Messageil y a 2 ans

Merci pour votre réponse, j'ai les même sortie pour drill:

drill sigfail.verteiltesysteme.net|grep rcode                                                            
;; ->>HEADER<<- opcode: QUERY, rcode: SERVFAIL, id: 35931

drill sigok.verteiltesysteme.net|grep rcode                                                                        
;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 40815
Est-ce que ça veut dire que tout est ok?
J'ai essayé de faire la mise à jour avec un utilitaire de bind "dnssec-dsfromkey", j'ai dû rajouter le TTL au fichier trusted-key.key car un message m'indiquait qu'il était manquant et actuellement il m'affiche ce message:

dnssec-dsfromkey: fatal: no DNSKEY RR for /etc/trusted-key.key in /etc/trusted-key.key
La mise à jour est-elle nécessaire?

PS: j'ai réussi à faire une mise à jour des enregistrement DNSKEY, mais rien y fait. Je pense que je ne comprend pas le problème.
Dernière modification par robmc14il y a 2 ans, modifié au total 1 fois.

Mettre le bit SEP pour DNSKEY

#4Messageil y a 2 ans

robmc14 a écrit : il y a 2 ans Merci pour votre réponse, j'ai les même sortie pour drill:

drill sigfail.verteiltesysteme.net|grep rcode                                                            
;; ->>HEADER<<- opcode: QUERY, rcode: SERVFAIL, id: 35931

drill sigok.verteiltesysteme.net|grep rcode                                                                        
;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 40815
Est-ce que ça veut dire que tout est ok?
Ça veut simplement dire que DNSSEC fonctionne bien.
J'ai essayé de faire la mise à jour avec un utilitaire de bind "dnssec-dsfromkey", j'ai dû rajouter le TTL au fichier trusted-key.key car un message m'indiquait qu'il était manquant et actuellement il m'affiche ce message:

dnssec-dsfromkey: fatal: no DNSKEY RR for /etc/trusted-key.key in /etc/trusted-key.key
La mise à jour est-elle nécessaire?
Je ne suis pas spécialiste réseau, j'ai juste installé unbound pour créer un serveur DNS sur mon PC, je ne maitrise pas du tout la gestion de serveur.
Il semble que ça concerne la gestion d'un nom de domaine sur un serveur :
https://dnsinstitute.com/documentation/ ... 04s04.html

Mettre le bit SEP pour DNSKEY

#5Messageil y a 2 ans

D'accord, et merci pour votre aide. J'ai réussi à faire la mise à jour des enregistrement DNSKEY du fichier trusted-key.key, il manquait un "." à ma commande, et j'ai toujours le même message qui s'affiche, je pense que je vais continuer à chercher, merci encore.
Répondre