Domain-Name-System
BIND 伺服器有大量“沒有有效的 RRSIG”錯誤
我有一個在 LAN 上執行的只轉發 BIND9 伺服器,它每天記錄數百個錯誤,例如:
Aug 29 18:38:29 nuc named[850]: error (no valid RRSIG) resolving 'ubuntu.com/DS/IN': 75.75.75.75#53 Aug 29 18:38:31 nuc named[850]: validating @0x7fc6d826ed50: com SOA: got insecure response; parent indicates it should be secure Aug 29 18:38:31 nuc named[850]: error (no valid RRSIG) resolving 'medium.com/DS/IN': 75.75.75.75#53 Aug 29 18:38:31 nuc named[850]: validating @0x7fc6d4014b80: com SOA: got insecure response; parent indicates it should be secure
客戶端似乎仍在獲得結果,但這些消息正在填滿日誌。中的相關行
named.conf
:forwarders { # Comcast 2001:558:feed::1; 2001:558:feed::2; 75.75.75.75; 75.75.76.76; }; forward only; dnssec-enable yes; dnssec-validation auto; dnssec-lookaside auto;
這些錯誤真正意味著正在發生什麼?這是我的配置錯誤還是康卡斯特的配置錯誤?
看起來 Comcast 的伺服器故意從他們給你的響應中去除 DNSSEC 簽名,所以你的伺服器無法驗證
com.
(在這種情況下),即使它知道應該簽名。這不太可能導致任何直接明顯的問題,它只會讓您和您的使用者對 DNSSEC 旨在防禦的所有攻擊敞開大門。康卡斯特為什麼要降低您的安全級別,您必須詢問他們。
我得到了類似的錯誤
/var/log/syslog
no valid RRSIG resolving
和broken trust chain resolving
在中添加以下參數後
/etc/bind/named.conf/options
,問題就消失了dnssec-enable yes; dnssec-validation yes;