我正在尝试使用绑定设置一个递归 DNS,它也有自己的区域。
现在我想升级它以使用 dnssec 但据我了解,如果我没有域名,我必须使用 DLV。
但是,我能找到的少数指南说您需要注册,而dlv.isc.org这些指南并不存在。我正在阅读的一本关于 DNSSEC 的书告诉我 DLV 将被弃用,所以这就是我想知道的原因。(如果您知道任何分步指南来设置它也将不胜感激)
AskOverflow.Dev
当
dlv.isc.org服务器不再运行时,您仍然可以通过dnssec-lookaside选项在 Bind 9 配置中设置另一个 DNSSEC Lookaside 服务器。如果example.com无法验证密钥,则后备服务器的名称将附加到其上,并且将根据后备服务器的受信任密钥重新开始验证。我没有测试,但我相信这不会解决您的问题:私有域lan.现在可以被积极验证为不存在,因此不会执行后备查询。那么可以做些什么来保护一个
lan.区域呢?这取决于用途:lan.不需要任何额外的配置(我假设dnssec-validation已经启用):lan.从区域文件中为区域提供服务并返回不带标志AD的答案,AD标志的答案。如果域不验证SERVFAIL将发出。lan.毫无问题地解析。但是,由于存根解析器和服务器之间的通信是未加密的,因此可以在传输过程中修改结果。您可以使用 TSIG 签名或 TLS 来保护它。我怀疑你想在每台客户端机器上设置一个 Bind9 服务器作为验证存根解析器(有更好的选择,如systemd-resolved、dnsmasq或unbound),但如果是这种情况,你需要先检索密钥对于您的
lan.区域:然后,您需要将密钥添加为受信任的,仅允许递归查询
localhost并将请求转发到“真实”DNS 服务器(假设它是 on192.168.0.1):最后,您只需要添加
localhost为唯一的 DNS 服务器/etc/resolv.conf:编辑:systemd-resolved配置更简单:只需将您的 DNSKEY 添加到名为
/etc/dnssec-trust-anchors.d/<your_name>.positive:并强制 DNSSEC 进入
/etc/systemd/resolved.conf: