Bind managed-keys-zone

[gulp]

Hi,
ich wollte mich jetzt mal mit DNS beschäftigen habe aber das
Problem das Bind mir immer meldet:

02-Aug-2010 14:21:57.419 general: info: zone 0.in-addr.arpa/IN: loaded serial 1
02-Aug-2010 14:21:57.419 general: info: zone 127.in-addr.arpa/IN: loaded serial 1
02-Aug-2010 14:21:57.420 general: info: zone 178.168.192.in-addr.arpa/IN: loaded serial 1
02-Aug-2010 14:21:57.420 general: info: zone 255.in-addr.arpa/IN: loaded serial 1
02-Aug-2010 14:21:57.423 general: info: zone localhost/IN: loaded serial 2
02-Aug-2010 14:21:57.423 general: info: zone test.xyz/IN: loaded serial 2007100801
02-Aug-2010 14:21:57.423 general: error: managed-keys-zone ./IN: loading from master file managed-keys.bind failed: file not found
02-Aug-2010 14:21:57.423 general: info: managed-keys-zone ./IN: loaded serial 0
02-Aug-2010 14:21:57.425 general: notice: running
02-Aug-2010 14:21:57.425 notify: info: zone 178.168.192.in-addr.arpa/IN: sending notifies (serial 1)

Und wenn ich nach diesem Error google finde ich irgendwie nix brauchbares.
Hoffe ihr könnt mir helfen.

 

[Whistler]

02-Aug-2010 14:21:57.423 general: error: managed-keys-zone ./IN: loading from master file managed-keys.bind failed: file not found

Gibt es die Datei?

Machst Du überhaupt DNSSEC?

Brauchst Du DNS-Lookaside? Mit der kürzlichen Signierung der Rootzone dürfte es sich eh erledigt haben.

 

[gulp]

1. Nein, die Datei gibt es nicht weil ich nicht weiß wo sie sein soll
2. Nein, mach ich nicht, hab ich aber eigentlich auch nichts diesbezüglich eingestellt
3. Nein, brauch ich nicht aber ich hab das eigentlich auch nicht aktiviert

Außer es gibt auch noch Configs für Bind außerhalb von /etc/bind/

 

[gulp]

Also es scheint ja was mit der Root-Zone zu tun haben wegen "./IN" aber mir ist noch nicht ganz klar was und ich finde auch keinen direkten Hinweis wo der Fehler steckt da das Problem nur auf einem meiner System auftaucht auf dem anderen nicht obwohl ich die Config's einfach kopiert habe. Allerdings ist das ein System ein Lenny (da läufts) und das andere ein Squeeze (da gehts nicht).

Ach ja und ein kopieren der (sowieso gleichen) Config's vom Lenny auf den Squeeze hilft auch nicht.

Hoffentlich helfen diese Angaben

 

[Whistler]

Vermutlich gelten andere Defaults. Schau mal nach "dnssec-enable" und "dnssec-validation", im einfachsten Fall setzt Du beides auf "no".

 

[gulp]

Steht aber nirgends! Oder suche ich in "etc/bind/" in den Configs am falschen Ort?

 

[hr1232]

Die Lösung ist ganz einfach: In den Standard-Konfigurationsdateien von Squeeze ist ein Fehler drin; es fehlt nämlich genau eine Zeile.

Da die Root-Zone seit einiger Zeit signiert ist, ist die DNSSEC-Validierung bei Squeeze standardmäßig eingeschaltet. Dies ist auch eine sehr vernünftige Sache und sollte meiner Meinung nach auf keinen Fall geändert werden (wie es weiter oben vorgeschlagen wurde). Wenn ein sehr sinnvolles Sicherheitsfeature nicht funktioniert, sollte die Lösung niemals in der Deaktivierung dieses Features liegen, sondern in der Beseitigung des Fehlers!

Damit Bind die Signatur-Prüfung durchführen kann, braucht es eine verlässliche Kopie des öffentlichen Schlüssels und die kann definitiv nicht über eine DNS-Abfrage bezogen werden, sondern muss auf der Festplatte abgelegt werden. Diese Kopie des öffentlichen ISC-Schlüssels wurde auch ordnungsgemäß in der Datei /etc/bind/bind.keys abgelegt, leider hat der Ersteller der Standard-Konfigurationsdateien aber vergessen, diese Datei auch in der Konfiguration zu verlinken.

Dies geschieht in der Datei /etc/bind/named.conf.

Hier ist die Standard-Version von Squeeze (ohne Kommentar-Zeilen):

include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
include "/etc/bind/named.conf.default-zones";

Es fehlt folgende Zeile (einfach ans Ende anfügen):

include "/etc/bind/bind.keys";

Danach wird die DNSSEC-Validierung einwandfrei funktionieren.

Und gleich noch eine kleine Ergänzung für alle Server, die keine IPv6-Außenanbindung haben:

Bei aktiviertem IPSEC wird Bind regelmäßig alle ihm bekannten Rootserver-IPs kontaktieren (auch die IPv6-Adressen). Wenn er dies aufgrund der fehlenden IPv6-Anbindung nicht kann, erstellt er für jede Adresse einen Eintrag im Syslog.

Um dies zu verhindern, kommentiert man einfach aus der Datei /etc/bind/db.root alle IPv6-Einträge aus (mit einem Semikolon am Anfang der Zeile).