Поиск по блогу

пятница, 23 января 2015 г.

Не работает dnssec-validation в bind9 в Ubuntu Precise

Столкнулся с багом в Ubuntu 12.04 LTS (Ubuntu Precise) - bind9, настроенный в качестве кеширующего dns, не может резолвить некоторые хосты. При этом в лог падает ошибка вида:

named[10137]: validating @0x7fa7cc019410: mail.frogger.nl A: got insecure response; parent indicates it should be secure
named[10137]: error (insecurity proof failed) resolving 'mail.frogger.nl/A/IN': 66.96.80.194#53
named[10137]: error (no valid NSEC) resolving 'mail.frogger.nl/A/IN': 85.17.41.33#53
named[10137]: error (no valid NSEC) resolving 'mail.frogger.nl/A/IN': 82.192.67.204#53

Проверка этого хоста на DNSSEC Analizer не показала никаких проблем. Если верить гуглу - я не одинок и проблема возникает с резолвингом хостов, где используется комбинация wildcard (*.frogger.nl, под который и попадает mail.frogger.nl) и DNSSEC. Соответствующие баг репорты открыты в Ubuntu #1203976 и Debian #690569.

В качестве затычки пока выключил валидацию dnssec:

options {
    dnssec-validation no; //was "dnssec-validation auto;"
}

Я пробовал сравнивать работу bind9 одинаковой версии (1:9.8.1.dfsg.P1-4) в Ubuntu и Debian: в Debian хост резолвится, а в Ubuntu - нет. Сравнение исходников пакета из Ubuntu и Debian не показывает никакой разницы. Пересборка пакета для Ubuntu тоже не улучшила ситуацию...

Возможно кто-то знает, почему один и тот же пакет bind9 по-разному ведет себя в Debian и Ubuntu?

1 комментарий:

  1. Этот вариант лучше, чем просто выключить!
    //881<->dnssec-validation auto;// проверка корректности ответов auto(всех, вне зависимости есть ли корень DNSSEC или нет. если корня DNSSEC нет то dns не отрабатывает и в логах ошибки
    //88(
    <------>dnssec-enable yes;// включение dnssec на уровне сервера
    <------>dnssec-validation yes;// проверка корректности ответов yes(если есть корень DNSSEC)
    <------>dnssec-lookaside auto;// разрешение использовать сторонние корни DNSSEC
    //88)

    ОтветитьУдалить