KeyHelp als secondary DNS

bernhard · Post by **bernhard** » Thu 25. May 2023, 11:50

Ich verwende meinen Server als secondary DNS. Das hab bis vor kurzem einfach so geklappt und ich vermute, dass sich das mit dem letzten Update geändert hat?

Kann es sein, dass in /etc/bind/named.conf.options ein allow-transfer {none}; dazugekommen ist?

Ich habe hier jetzt meine IPs eingetragen, die sich zones abholen dürfen. Ist das jetzt update-safe oder wird diese Datei beim nächsten Update wieder überschrieben?

Danke!

24unix · Post by **24unix** » Thu 25. May 2023, 11:53

bernhard wrote: ↑Thu 25. May 2023, 11:50 Kann es sein, dass in /etc/bind/named.conf.options ein allow-transfer {none}; dazugekommen ist?

Schau mal hier: viewtopic.php?p=41988#p41988

Post by **mhagge** » Thu 25. May 2023, 11:54

Changelog (https://www.keyhelp.de/changelog/ ) - 23.1 unter Fixes / Imperfections und Forensuche ( viewtopic.php?t=12420 ) könnten helfen

bernhard · Post by **bernhard** » Thu 25. May 2023, 12:03

Danke für die Links!

Es wäre für mich trotzdem noch wichtig zu wissen, ob das jetzt Update-sicher ist?

Seklfreak · Post by **Seklfreak** » Thu 25. May 2023, 18:36

Hallo, die Datei /etc/bind/named.conf.options wird von KeyHelp nicht angerührt.

Es gibt lediglich nur ein einzigen Eintrag in /etc/bind/named.conf.local und das wars aber auch wieder.

Ansonsten gibt noch den Ordner /etc/bind/keyhelp_domains mit den entsprechenden Domains, sofern man KeyHelp die erstellen lässt oder die Erstellung abwählt.

Im großen und ganzen wird so gut wie gar nicht Bind von KeyHelp angerührt.

24unix · Post by **24unix** » Thu 25. May 2023, 19:35

Seklfreak wrote: ↑Thu 25. May 2023, 18:36 Hallo, die Datei /etc/bind/named.conf.options wird von KeyHelp nicht angerührt.

Ausser beim letzten update.

Seklfreak · Post by **Seklfreak** » Fri 26. May 2023, 06:41

24unix wrote: ↑Thu 25. May 2023, 19:35
Seklfreak wrote: ↑Thu 25. May 2023, 18:36 Hallo, die Datei /etc/bind/named.conf.options wird von KeyHelp nicht angerührt.

Ausser beim letzten update.

Nochmal:

Diese Datei wird von KeyHelp nicht angerührt, da braucht man mir nicht was anderes sagen, da man mir das Gegenteil erstmal beweisen sollte.

Grund:
Auf meine Server mit KeyHelp ist nun mal so und auf einem weiteren Server den ich verwalte.

Die letzte Änderung von mir persönlich war am 03.04.2023 und da hatte ich genau eine Neuinstallation und seit dem wurde da nichts mehr geändert. Schon mal gar nicht von KeyHelp.

03.04.2023 18:33:33 OS Reinstall

Änderung von mir:
Montag, ‎3. ‎April ‎2023, ‏‎19:51:53

KeyHelp 23.1 Veröffentlichung, offiziell:
04 May 2023

Spricht:

KeyHelp rührt diese Datei wirklich nicht an.

Edit:
Man verwechselt auch die oben geannte Datei mit /etc/bind/named.conf.keyhelp, da ist auch deutlich ein Hinweis in der Datei.
Dass die selbst gemachte Änderungen bei dem nächsten Update verloren gehen.

Edit2:
Ich muss dazu auch noch was erwähnen, den Inhalt.

options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

// forwarders {
// 0.0.0.0;
// };

//========================================================================
// If BIND logs error messages about the root key being expired,
// you will need to update your keys. See https://www.isc.org/bind-keys
//========================================================================
dnssec-validation auto;

listen-on-v6 { any; };

allow-transfer { none; };
};

Habe ich nicht, der entspricht bei mir nicht dem Standard.

24unix · Post by **24unix** » Fri 26. May 2023, 10:48

Seklfreak wrote: ↑Fri 26. May 2023, 06:41 Edit2:
Ich muss dazu auch noch was erwähnen, den Inhalt.

options {
directory "/var/cache/bind";

// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113

// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.

// forwarders {
// 0.0.0.0;
// };

//========================================================================
// If BIND logs error messages about the root key being expired,
// you will need to update your keys. See https://www.isc.org/bind-keys
//========================================================================
dnssec-validation auto;

listen-on-v6 { any; };

allow-transfer { none; };
};
Habe ich nicht, der entspricht bei mir nicht dem Standard.

Ich hatte ihn, auf drei Kisten, an denen ich seit Monaten nichts geändert hatte. Und nun?

Seklfreak · Post by **Seklfreak** » Fri 26. May 2023, 15:17

Ich wollte damit sagen:
Dass ich eine eigene Options Konfiguration habe und die seit der Neuinstallation keineswegs von KeyHelp überschrieben wurde.
Dass /etc/bind/named.conf.options also nicht von KeyHelp angerührt wird.

Auf die Frage von dem Threadstarter:
Ja, die Datei ist Update sicher, da diese noch nicht mal von KeyHelp angerührt wird.

24unix · Post by **24unix** » Fri 26. May 2023, 17:24

Seklfreak wrote: ↑Fri 26. May 2023, 15:17 Ich wollte damit sagen:
Dass ich eine eigene Options Konfiguration habe und die seit der Neuinstallation keineswegs von KeyHelp überschrieben wurde.
Dass /etc/bind/named.conf.options also nicht von KeyHelp angerührt wird.

Auf die Frage von dem Threadstarter:
Ja, die Datei ist Update sicher, da diese noch nicht mal von KeyHelp angerührt wird.

Ich habe grade mal auf einer Kiste von einem Kunden geguckt.

Angelegt am 9.5.
Die name.conf.options enthält in der vorletzen Zeile den Eintrag:

Code: Select all

        allow-transfer { none; };

Seklfreak · Post by **Seklfreak** » Fri 26. May 2023, 18:19

Ja, habe ich eigentlich bei meinem anderen Server auch aber.
Das kann daran liegen, dass Alexander wohl so gemacht hat.
Dass lediglich nur der Wert wohl korrigiert wird, damit keine Probleme oder Sontiges gibt.

Ansonsten wird die Datei definitiv nicht angerührt

Bei meinem anderen Server habe ich es noch nicht als sekundären Server konfiguriert.

24unix · Post by **24unix** » Fri 26. May 2023, 18:26

Seklfreak wrote: ↑Fri 26. May 2023, 18:19 Dass lediglich nur der Wert wohl korrigiert wird, damit keine Probleme oder Sontiges gibt.

Wahrscheinlich.
Für mich war es ja kein Akt, ein neuer Host wurde nicht auf die Slaves transferiert.
Gemerkt, ins die Logs geschaut und gesehen, dass der Transfer verboten war.
Datei repariert, fertig.

Aber für den Kollegen, dessen Domains nicht mehr aufgelöst haben wohl eher ärgerlich.

Seklfreak · Post by **Seklfreak** » Fri 26. May 2023, 18:53

Ja, gut möglich.
Man hätte dies aber selber korrigieren können, das musste nicht wirklich durch KeyHelp gemacht werden.

Für ein eigenes führen von einem primären und sekundären DNS / NameServer kann man so oder so nicht den standard Inhalt verwenden.

Ich muss mein anderen Server aber mal langsam wieder als sekundären Server mal konfigurieren..
Mache ich aber wahrscheinlich erst, wenn mein Rechner durch mein PC Händler überprüft wurde und die TPM Sache (TPM-Nachweis) funktioniert.
Oder doch heute noch

KeyHelp als secondary DNS

KeyHelp als secondary DNS

Re: KeyHelp als secondary DNS

Re: KeyHelp als secondary DNS

Re: KeyHelp als secondary DNS

Re: KeyHelp als secondary DNS

Re: KeyHelp als secondary DNS

Re: KeyHelp als secondary DNS

Re: KeyHelp als secondary DNS

Re: KeyHelp als secondary DNS

Re: KeyHelp als secondary DNS

Re: KeyHelp als secondary DNS

Re: KeyHelp als secondary DNS

Re: KeyHelp als secondary DNS