Linux
綁定沒有驗證 dnssec
奇怪的。即使我將綁定配置為,我的綁定也沒有驗證 dnssec。根據
named -V
具有BIND 9.8.2rc1-RedHat-9.8.2-0.10.rc1.el6_3.2
內置 DLV 密鑰的版本。在 named.conf 中的選項下
dnssec-enable yes; dnssec-validation yes; dnssec-lookaside auto;
但是當我查詢一個已知的壞區域時,就像
dig www.dnssec-failed.org @localhost
我得到了 IP 地址一樣——而不是像我預期的那樣失敗。有什麼想法嗎?
不要問為什麼,但我遇到了同樣的問題,將 dnssec-validation 選項設置為 auto 而不是 yes 解決了這個問題
根據參考手冊,
“dnssec 驗證”
$$ … $$ 如果設置為“auto”,則啟用 DNSSEC 驗證,並使用 DNS 根區域的預設信任錨。
如果設置為“yes”,則啟用 DNSSEC 驗證,但必須使用“trusted-keys”或“managed-keys”語句手動配置信任錨。
因此,您必須將其設置為
auto
mode 或顯式include "/etc/bind.keys"
.