Linux

綁定沒有驗證 dnssec

  • April 25, 2017

奇怪的。即使我將綁定配置為,我的綁定也沒有驗證 dnssec。根據named -V具有BIND 9.8.2rc1-RedHat-9.8.2-0.10.rc1.el6_3.2內置 DLV 密鑰的版本。

在 named.conf 中的選項下

dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;

但是當我查詢一個已知的壞區域時,就像dig www.dnssec-failed.org @localhost我得到了 IP 地址一樣——而不是像我預期的那樣失敗。有什麼想法嗎?

不要問為什麼,但我遇到了同樣的問題,將 dnssec-validation 選項設置為 auto 而不是 yes 解決了這個問題

根據參考手冊

“dnssec 驗證”

$$ … $$ 如果設置為“auto”,則啟用 DNSSEC 驗證,並使用 DNS 根區域的預設信任錨。

如果設置為“yes”,則啟用 DNSSEC 驗證,但必須使用“trusted-keys”或“managed-keys”語句手動配置信任錨。

因此,您必須將其設置為automode 或顯式include "/etc/bind.keys".

引用自:https://serverfault.com/questions/472606