Hallo,
System centos 7(1)
hat jemand von Euch einen Hinweis warum da etwas nicht richtig funktioniert? ich habe für einige Domains DNSSEC aufgedreht aber anscheinend hat der Bind da einige Probleme?
Ich bekomme immer diesen Fehler
DNS named[6926]: dumping master file: tmp-iFOFIHfWVC: open: permission denied
ich habe gesucht und gesucht einen Hinweis gefunden für selinux und einen Pfad eingetragen in der named.conf
managed-keys-directory "/var/named/dynamic";
da passen auch die Rechte named:named named schreibt auch Dateien hinein, aber anscheinend nicht die tmp-xxxxxxxxxx Dateien.
Gibt es irgendwo ein "gepflegtes" Directory mit einem neueren named das für centos 7 passt? Die 10 Version soll angeblich besser mit DNSSEC umgehen?
On 07-09-15 12:51:34, Günther J. Niederwimmer wrote:
Gibt es irgendwo ein "gepflegtes" Directory mit einem neueren named das für centos 7 passt? Die 10 Version soll angeblich besser mit DNSSEC umgehen?
Auch wenn meine Antwort leider nicht passt: mit PowerDNS ist das erheblich einfacher zu bewerkstelligen als mit Bind. Ich habe das vor 1,5 Jahren mit Bind (unter Debian) gemacht und vor einigen Tagen auf PowerDNS gewechselt. Ein Traum. Außer 'pdnssec secure-zone domain.de' ist nichts viel zu machen.
Danach lässt man sich mit 'pdnssec show-zone domain.de' die Keys anzeigen, die man an die DeNIC übermitteln muss und fertig ist die Laube.
Falls jemand DNSSEC plant: Ich kann wärmstens PowerDNS empfehlen.
Hallo,
Am Montag, 7. September 2015, 14:05:18 schrieb Kai Bojens:
On 07-09-15 12:51:34, Günther J. Niederwimmer wrote:
Gibt es irgendwo ein "gepflegtes" Directory mit einem neueren named das für centos 7 passt? Die 10 Version soll angeblich besser mit DNSSEC umgehen?
Auch wenn meine Antwort leider nicht passt: mit PowerDNS ist das erheblich einfacher zu bewerkstelligen als mit Bind. Ich habe das vor 1,5 Jahren mit Bind (unter Debian) gemacht und vor einigen Tagen auf PowerDNS gewechselt. Ein Traum. Außer 'pdnssec secure-zone domain.de' ist nichts viel zu machen.
PowerDNS ist leider nicht zertifiziert. Ich habe einen Bekannten der hat einen "DNS Pool" mit PowerDNS, entweder hat er einen Fehler in seinen configs oder PowerDNS hat Probleme mit externen Master Servern ?
jedenfalls funktioniert das nicht so richtig ;-)
Ich habe übrigens meinen Fehler gefunden :-(. da muss ich jetzt aufpassen, denn bei jedem Update von named (Bind), werden die Rechte verändert für /var/named, dann funktioniert DNSSEC nicht mehr :-(.
Schei.......
Danach lässt man sich mit 'pdnssec show-zone domain.de' die Keys anzeigen, die man an die DeNIC übermitteln muss und fertig ist die Laube.
Falls jemand DNSSEC plant: Ich kann wärmstens PowerDNS empfehlen.
Ich denke, das Problem liegt woanders....
Was sagt denn Dein /var/log/audit/audit.log zur gleichen Zeit? Tritt das Problem nur auf dem Secondary Nameserver auf? Wie sehen denn die File-Permissions für /var/named/dynamic und der SELinux-Kontext aus? Wie bearbeitest Du denn die Zonen-Files?
Zum Vergleich:
directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt"; bindkeys-file "/etc/named.iscdlv.key"; managed-keys-directory "/var/named/dynamic";
Gruss --- Markus
On Mon, Sep 7, 2015 at 2:31 , Günther J. Niederwimmer gjn@gjn.priv.at wrote:
Hallo,
Am Montag, 7. September 2015, 14:05:18 schrieb Kai Bojens:
On 07-09-15 12:51:34, Günther J. Niederwimmer wrote:
Gibt es irgendwo ein "gepflegtes" Directory mit einem neueren
named das
für centos 7 passt? Die 10 Version soll angeblich besser mit DNSSEC
umgehen?
Auch wenn meine Antwort leider nicht passt: mit PowerDNS ist das erheblich einfacher zu bewerkstelligen als mit Bind. Ich habe das vor 1,5 Jahren mit Bind (unter Debian) gemacht und vor einigen Tagen auf PowerDNS gewechselt. Ein Traum. Außer 'pdnssec secure-zone domain.de' ist nichts viel zu machen.
PowerDNS ist leider nicht zertifiziert. Ich habe einen Bekannten der hat einen "DNS Pool" mit PowerDNS, entweder hat er einen Fehler in seinen configs oder PowerDNS hat Probleme mit externen Master Servern ?
jedenfalls funktioniert das nicht so richtig ;-)
Ich habe übrigens meinen Fehler gefunden :-(. da muss ich jetzt aufpassen, denn bei jedem Update von named (Bind), werden die Rechte verändert für /var/named, dann funktioniert DNSSEC nicht mehr :-(.
Schei.......
Danach lässt man sich mit 'pdnssec show-zone domain.de' die Keys anzeigen, die man an die DeNIC übermitteln muss und fertig ist die Laube.
Falls jemand DNSSEC plant: Ich kann wärmstens PowerDNS empfehlen.
-- mit freundlichen Grüssen / best regards,
Günther J. Niederwimmer
CentOS-de mailing list CentOS-de@centos.org https://lists.centos.org/mailman/listinfo/centos-de
On 07-09-15 14:31:50, Günther J. Niederwimmer wrote:
PowerDNS ist leider nicht zertifiziert.
Nur mal aus Neugierde: Wofür nicht zertifiziert?
Ich habe einen Bekannten der hat einen "DNS Pool" mit PowerDNS, entweder hat er einen Fehler in seinen configs oder PowerDNS hat Probleme mit externen Master Servern ?
Das wäre mir neu. Was für ein _konkretes_ Problem hat er denn? Vielleicht kann ihm ja geholfen werden.
Am Dienstag, 8. September 2015, 15:48:21 schrieb Kai Bojens:
On 07-09-15 14:31:50, Günther J. Niederwimmer wrote:
PowerDNS ist leider nicht zertifiziert.
Nur mal aus Neugierde: Wofür nicht zertifiziert?
Ich glaube das war die "ICS" es gibt nur 3 zertifizierte Nameserver "named" den von FreeBSD UND DER 3. war ein Tscheche da fehl mit im Moment der Name ;-)
Ich habe einen Bekannten der hat einen "DNS Pool" mit PowerDNS, entweder hat er einen Fehler in seinen configs oder PowerDNS hat Probleme mit externen Master Servern ?
Das wäre mir neu. Was für ein _konkretes_ Problem hat er denn? Vielleicht kann ihm ja geholfen werden.
zu dem ist er zu eigensinnig..... ;-), außerdem für Ihn funktioniert ja alles, er drängt mich immer seine Nameserver zu benutzen, aber das Teil kommt mit meinen Master Servern nicht zurecht? irgendwas läuft da schief, bei der Verteilung der Zonen Files?
aber zu einem anderen Problem.
Mir kommt vor CentOS hat ein Design Problem beim Named DNSSEC?
Oder ich habe eine Macke ;-).
Bei CentOS / RedHut ist der Pfad für Zonen Files /var/named, aber named ist nicht berechtigt in diesen Pfad zu schreiben. Also wo soll man seine Zonen Files hinlegen damit man automatisch seine xxx.signed Files bekommt?
Denn jetzt habe ich einfach Schreibrechte für Named zugelassen, aber bei jedem Update überschreibt er das wieder?
Schöne Sch... und selinux ist genau auf diese Sch.... abgestimmt?
Wo also anfangen?