Size: a a a

2020 March 25

A

Anatoly in Nag.Ru
Ого да это же Саня
Было:  
в /var/log/messages куча DNSSEC validating с руганью вокруг  dlv.isc.org
dlv.isc.org DNSKEY: verify failed due to bad signature (keyid=19297): RRSIG has expired
dlv.isc.org DNSKEY: unable to find a DNSKEY which verifies the DNSKEY RRset and also matches a trusted key for 'dlv.isc.org'
dlv.isc.org DNSKEY: please check the 'trusted-keys' for 'dlv.isc.org' in named.conf.
dlv.isc.org SOA: got insecure response; parent indicates it should be secure
dlv.isc.org DNSKEY: got insecure response; parent indicates it should be secure

Авторитативный+ресолвер BIND 9.8.2rc1-RedHat-9.8.2-0.68.rc1.el6_10.3 на CentOS release 6.10 (Final)

решил удалением строчки
dnssec-lookaside auto;
из /etc/named.conf

что интересно, BIND 9.11.4 с такой же строчкой продолжил молотить
о, спасибо. а мужики-то видать не в курсе
источник

r

rm in Nag.Ru
Anatoly
а вас двоих ЛОР покусал? днс говорю сломались, а вы мне "не пользуйся днсами". Классика
и ещё не пользуйся Странанеймтелекомом в качестве провайдера, они все априори говно
источник

A

Anatoly in Nag.Ru
rm
и ещё не пользуйся Странанеймтелекомом в качестве провайдера, они все априори говно
я сам то не оттуда. знакомые интересуются, а в инете тишина
источник

SK

Sergey K in Nag.Ru
Anatoly
о, спасибо. а мужики-то видать не в курсе
там забыли обновить ключ в домене dlv.isc.org и почему-то определенные версии бинда переклинило, хотя этот механизм депрекейтед и непонятно как он воообще повлиял на остальные нормальные зоны
источник

ОС

Ого да это же Саня in Nag.Ru
Sergey K
там забыли обновить ключ в домене dlv.isc.org и почему-то определенные версии бинда переклинило, хотя этот механизм депрекейтед и непонятно как он воообще повлиял на остальные нормальные зоны
более того, ISC заявляли, что директива dnssec-lookaside auto; - хармлесс
источник

ОС

Ого да это же Саня in Nag.Ru
не найду, где, но это гуглится
источник

SK

Sergey K in Nag.Ru
Ого да это же Саня
более того, ISC заявляли, что директива dnssec-lookaside auto; - хармлесс
дада, но как всегда в каких-то версих был баг
источник

SK

Sergey K in Nag.Ru
источник

ОС

Ого да это же Саня in Nag.Ru
Sergey K
дада, но как всегда в каких-то версих был баг
только из-за этого решил из конфига её не вычищать. А я как раз впервые с воскресенья из дома вышел
источник

SK

Sergey K in Nag.Ru
по факту можно ставить no, эта зона пустая пару лет вроде
источник

SK

Sergey K in Nag.Ru
писец подкрался откуда не ждали, за всеми фиксами и депрекейтами не уследить)
источник
2020 March 26

ОС

Ого да это же Саня in Nag.Ru
I realize that it wasn't doing anything but we left the command in there
because it had been in there and in the documentation it said it was harmless.

It wasn't harmless.


ЛОЛ
источник

SK

Sergey K in Nag.Ru
причем они ключ не обновляли часа 2 наверное
источник

ОС

Ого да это же Саня in Nag.Ru
We apparently let our signatures on dlv.isc.org expire. We are fixing it now.
We apologize for this.
источник

ОС

Ого да это же Саня in Nag.Ru
ну как так нахой
источник

SK

Sergey K in Nag.Ru
походу стоял скрипт, который ротейтил ключи, он навернулся, а в мониторинг никто не добавил)
источник

ОС

Ого да это же Саня in Nag.Ru
такое бывает, что уж
источник

ОС

Ого да это же Саня in Nag.Ru
источник

GS

German Sukhachev in Nag.Ru
Ого да это же Саня
не найду, где, но это гуглится
в bind.keys так и написано
источник

s

shumbor in Nag.Ru
опять бинд под раздачу попал... хотя у меня на домашнем роутере не отваливался... но там и днссек не настроен... и бинд древний...
источник