dnssec-trust-anchors.d 中文手册

译者:金步国


版权声明

本文译者是一位开源理念的坚定支持者,所以本文虽然不是软件,但是遵照开源的精神发布。

其他作品

本文译者十分愿意与他人分享劳动成果,如果你对我的其他翻译作品或者技术文章有兴趣,可以在如下位置查看现有的作品集:

联系方式

由于译者水平有限,因此不能保证译文内容准确无误。如果你发现了译文中的错误(哪怕是错别字也好),请来信指出,任何提高译文质量的建议我都将虚心接纳。


手册索引 . 指令索引systemd-235

名称

dnssec-trust-anchors.d, systemd.positive, systemd.negative — DNSSEC 信任锚配置

大纲

/etc/dnssec-trust-anchors.d/*.positive

/run/dnssec-trust-anchors.d/*.positive

/usr/lib/dnssec-trust-anchors.d/*.positive

/etc/dnssec-trust-anchors.d/*.negative

/run/dnssec-trust-anchors.d/*.negative

/usr/lib/dnssec-trust-anchors.d/*.negative

描述

DNSSEC 信任锚配置文件定义了 systemd-resolved.service(8) 实现 DNSSEC 完整性验证所依赖的根基:正向信任锚与反向信任锚。

正向信任锚(Positive Trust Anchor)

正向信任锚配置文件包含 DNSKEY 与 DS 资源记录。 参见 RFC 4035, Section 4.4 以了解更多有关 DNSSEC 信任锚的说明。

正向信任锚依次从 /etc/dnssec-trust-anchors.d/(优先级最高), /run/dnssec-trust-anchors.d/(优先级居中), /usr/lib/dnssec-trust-anchors.d/(优先级最低) 目录下后缀名为 .positive 配置文件中读取。 对于不同目录下的同名配置文件来说, 高优先级目录中的配置文件会覆盖低优先级目录中的同名配置文件。 因此,要想屏蔽 /usr/lib/dnssec-trust-anchors.d/ 目录中的某个配置文件,可以在 /etc/dnssec-trust-anchors.d//run/dnssec-trust-anchors.d/ 目录中 创建一个指向 /dev/null 的同名软连接。

与DNS区域文件(RFC 1035, Section 5)一样,正向信任锚的配置文件也是一个纯文本文件。 格式上,一行表示一个 DS 或 DNSKEY 资源记录, 空行与分号(";")开头的行将被忽略。 一个 DS 资源记录的例子:

. IN DS 19036 8 2 49aac11d7b6f6446702e54a1607371607a1a41855200fd2ce1cdde32f24e8fb5

第一个字段表示域(尾部的句点可写可不写), 本例中的 "." 表示"根域"。 第二个字段必须是 "IN" 。 第三个字段必须是 "DS" 。 其余的字段分别表示:公钥标签(Key Tag), 签名算法, 摘要算法, 16进制编码的公钥摘要。 参见 RFC 4034, Section 5 以了解上述各字段含义的详细解释。

DNSKEY 资源记录用于定义信任锚。 一个 DNSKEY 资源记录的例子:

. IN DNSKEY 257 3 8 AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaDX6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpzW5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relSQageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0=

第一个字段表示域(尾部的句点可写可不写),本例中的 "." 表示"根域"。 第二个字段必须是 "IN" 。 第三个字段必须是 "DNSKEY" 。 其余的字段分别表示:DNSKEY Flags, 协议, 公钥算法, Base64编码的公钥。 参见 RFC 4034, Section 2 以了解上述各字段含义的详细解释。

如果为同一个域定义了多个 DS 或 DNSKEY 资源记录, 那么所有公钥都将被认可并且彼此平等(即使这些记录位于不同目录下的配置文件中)。

注意,如果没有专门为根域配置正向信任锚, 那么 systemd-resolved 将会自动为根域使用内置的信任锚公钥, 因此通常没必要专门为根域配置信任锚。 仅在根域的信任锚确实发生变化的情况下, 才需要专门为根域配置新的信任锚。

通常建议将信任锚封装为 DS 资源记录(而不是 DNSKEY 资源记录)。

如果发现某个 DS 资源记录中封装的信任锚已经被撤销, 那么在将会自动从信任锚数据库中删除该记录。 参见 RFC 5011 已了解有关信任锚的撤销。 注意,systemd-resolved 不会自动从 DNS 服务器更新自己的信任锚数据库。 推荐的做法是升级 systemd 软件包的版本或者更新信任锚配置文件。

最新的 Internet 根域 DNSSEC 信任锚 可以从 IANA Trust Anchor and Keys 页面获取。

反向信任锚(Negative Trust Anchor)

反向信任锚用于定义应该针对哪些域关闭 DNSSEC 验证机制。 反向信任锚配置文件与正向信任锚配置文件的存放目录、优先级、覆盖规则都完全相同。 反向信任锚配置文件的名称必须以 .negative 为后缀, 空行与分号(";")开头的行将被忽略。 每行一个域名,表示关闭该域名及其所有子域名的 DNSSEC 验证机制。

反向信任锚通常用于禁用某些私有域名的DNSSEC验证机制, 因为这些私有域名无法在互联网DNS服务器上进行验证。

RFC 7646 详细描述了反向信任锚。

如果没有设置任何反向信任锚配置文件, 那么将使用一组内置的众所周知的私有DNS区域作为反向信任锚。

可以使用 systemd.network(5)DNSSECNegativeTrustAnchors= 选项专门针对特定的网络接口设置专属的反向信任锚。

参见

systemd(1), systemd-resolved.service(8), resolved.conf(5), systemd.network(5)