我在 LAN 上运行着一个只进不退的 BIND9 服务器,它每天会记录数百个错误,例如:
Aug 29 18:38:29 nuc named[850]: error (no valid RRSIG) resolving 'ubuntu.com/DS/IN': 75.75.75.75#53
Aug 29 18:38:31 nuc named[850]: validating @0x7fc6d826ed50: com SOA: got insecure response; parent indicates it should be secure
Aug 29 18:38:31 nuc named[850]: error (no valid RRSIG) resolving 'medium.com/DS/IN': 75.75.75.75#53
Aug 29 18:38:31 nuc named[850]: validating @0x7fc6d4014b80: com SOA: got insecure response; parent indicates it should be secure
看来客户端仍在获取结果,但这些消息正在填满日志。相关行位于named.conf:
forwarders {
# Comcast
2001:558:feed::1;
2001:558:feed::2;
75.75.75.75;
75.75.76.76;
};
forward only;
dnssec-enable yes;
dnssec-validation auto;
dnssec-lookaside auto;
这些错误是什么真的发生了什么?这是我的配置错误还是 Comcast 的配置错误?
答案1
看起来康卡斯特的服务器故意从他们给您的响应中删除 DNSSEC 签名,因此您的服务器无法验证com.(在这种情况下),即使它知道应该签名。这不太可能导致任何直接明显的问题,它只会让您和您的用户面临 DNSSEC 旨在防范的所有攻击。
您必须问康卡斯特为什么要降低您的安全级别。
答案2
在我的旧 Ubuntu 服务器上使用 Bind 9.9,在文件 /etc/bind/named.conf.options 中设置参数
dnssec-validation auto;
已默认设置。
在过去的三四年里,我收到了大量类似这样的错误消息:
named[2308]: validating @0x7fd77c00ffc0: . DNSKEY: please check the 'trusted-keys' for '.' in named.conf.
named[2308]: error (no valid KEY) resolving './DNSKEY/IN': 199.7.83.42#53
named[2308]: validating @0x7fd780022e80: . DNSKEY: unable to find a DNSKEY which verifies the DNSKEY RRset and also matches a trusted key for '.'
经过三四年的绑定配置和密钥调整后,查看每个可访问的与 isc 绑定相关的资源,至少添加/更改参数以
dnssec-enable yes;
dnssec-validation yes;
解决了我遇到的大量错误的问题。
答案3
我遇到了类似的错误/var/log/syslog
no valid RRSIG resolving和broken trust chain resolving
添加以下参数后/etc/bind/named.conf/options,问题消失
dnssec-enable yes;
dnssec-validation yes;