problem s BINDem

Dan Lukes dan at obluda.cz
Sat May 4 20:47:44 CEST 2019


Vilem Kebrt wrote on 4. 5. 2019 17:16:
>> Tady jsem myslel hlavne to, jestli se treba nepouziva ten adresar 
>> "working" jako nejaky chroot, teda spis jako adresar, co by mel byt z 
>> nejakych bezpecnostnich duvodu prazdny, ale zaroven zapisovatelny 

> vzhledem k tomu ze bind od jiste verze podporuje automaticky dnssec 
> sign, osobne bych si tipnul ze working je provozni adresar z ktereho se 
> to konkretne cte a ostatni jsou pro tebou zadavane "template". 
> Samozrejme pokud nemas u zony zadano automaticke podepisovani pro 
> dnssec, nejspis tam bude stejny obsah jako v adresari master.

Automaticke podepisovani mam a podepsane zony si to vytvari ve stejnem 
adresari jako je master - takze z nej jednak cte nepodepsane zony a 
druhak si tam zapisuje podepsane.

Coz mi mimochodem nedela radost, protoze puvodne jsem ten adresar nemel 
pro bind zapisovatelny, ted musim.

K cemu je "working" tak stale nevim. Asi fakt nezbude nez otevrit zdrojaky.

A kdyz uz jsme tu narazili na to automaticke podepisovani - nechodi to 
uplne tak, jak bych si predstavoval. Zmenim obsah bazoveho souboru 
(nepodepsana master zona), zmenim serial v SOA a poslu BINDu signal aby 
si soubory znovu nacetl.

V nemalem poctu pripadu (ale nemuzu prijit na pravidlo kdy) mi sice 
nacte novy obsah, ale zignoruje zmenu serial - takze se zmeny neprenesou 
na sekundary. Musim rucne zavolat
rndc signing -serial $serial $domain

Takze zatim z toho nemam uplne dobrej pocit, nikdy vlastne nevim, kdy 
ktera domena po rekonfiguraci nepobezi s novymi daty ...

Dan


More information about the Users-l mailing list