Errori BIND9
Buongiorno, recentemente mi sono imbattuto in una serie di errori relativi a BIND9 su distribuzione debian che mi impedivano di risolvere correttamente.
Partendo da una situazione pulita ed usando google come DNS Forwared ad ogni richiesta ricevevo SERVFAIL e sui log notavo una quantità di errori dovuti principalmente a:
- Errori di risoluzione su indirizzi IPv6 (e.g. network unreachable resolving ‘./DNSKEY/IN’: 2001:500:2f::f#53)
- Errori attribuibili a dnsseq (e.g. managed-keys-zone: Unable to fetch DNSKEY set ‘.’: timed out oppure no valid RRSIG resolving )
Nell’articolo vedremo come risolvere problemi in BIND9 relativi a IPv6 e DNSSEQ.
I problemi sono appunto due ed analizziamoli individualmente.
IPv6
Nel mio sistema io non ho ancora abilitato il supporto a IPv6. Pertanto non ho al momento bisogno che BIND sia abilitato a questa versione di protocollo. Per forzare la sola versione 4 si può modificare la chiave OPTIONS presente nel file /etc/defaults/bind da così:
OPTIONS="-u bind"
a così:
OPTIONS="-4 -u bind"
DNSSEQ
Dai log si evinceva che c’erano dei problemi legati a DNSSEQ. La causa di questo era la chiave relativa al metodo di validazione. Per risolvere si può forzare la validazione modificando nel file /etc/bind9/named.conf.options da così:
dnssec-validation auto;
a così:
dnssec-validation yes;
Fatto questo il mio sistema BIND9 è tornato a risolvere correttamente.
Per completezza riporto la differenza tra le due voci:
- yes: DNSSEC validation is enabled, but a trust anchor must be manually configured. No validation will actually take place until you have manually configured at least one trusted key. This is the default.
- no: DNSSEC validation is disabled, and recursive server will behave in the “old fashioned” way of performing insecure DNS lookups.
- auto: DNSSEC validation is enabled, and a default trust anchor (included as part of BIND) for the DNS root zone is used.
Alla prossima!
Share this content: