problem s BINDem
Dan Lukes
dan at obluda.cz
Sat May 4 20:47:44 CEST 2019
Vilem Kebrt wrote on 4. 5. 2019 17:16:
>> Tady jsem myslel hlavne to, jestli se treba nepouziva ten adresar
>> "working" jako nejaky chroot, teda spis jako adresar, co by mel byt z
>> nejakych bezpecnostnich duvodu prazdny, ale zaroven zapisovatelny
> vzhledem k tomu ze bind od jiste verze podporuje automaticky dnssec
> sign, osobne bych si tipnul ze working je provozni adresar z ktereho se
> to konkretne cte a ostatni jsou pro tebou zadavane "template".
> Samozrejme pokud nemas u zony zadano automaticke podepisovani pro
> dnssec, nejspis tam bude stejny obsah jako v adresari master.
Automaticke podepisovani mam a podepsane zony si to vytvari ve stejnem
adresari jako je master - takze z nej jednak cte nepodepsane zony a
druhak si tam zapisuje podepsane.
Coz mi mimochodem nedela radost, protoze puvodne jsem ten adresar nemel
pro bind zapisovatelny, ted musim.
K cemu je "working" tak stale nevim. Asi fakt nezbude nez otevrit zdrojaky.
A kdyz uz jsme tu narazili na to automaticke podepisovani - nechodi to
uplne tak, jak bych si predstavoval. Zmenim obsah bazoveho souboru
(nepodepsana master zona), zmenim serial v SOA a poslu BINDu signal aby
si soubory znovu nacetl.
V nemalem poctu pripadu (ale nemuzu prijit na pravidlo kdy) mi sice
nacte novy obsah, ale zignoruje zmenu serial - takze se zmeny neprenesou
na sekundary. Musim rucne zavolat
rndc signing -serial $serial $domain
Takze zatim z toho nemam uplne dobrej pocit, nikdy vlastne nevim, kdy
ktera domena po rekonfiguraci nepobezi s novymi daty ...
Dan
More information about the Users-l
mailing list