Вопросы Теги

Запросы и проверка dnssec

Я не использую Мерзавца, таким образом, я мог быть неправым, но если я разбираюсь в Вашей проблеме, Вы, вероятно, создали пользователя полностью вручную (т.е. редактирующий/etc/passwd), не позволив системе знать, что/var/git является пользовательским корневым каталогом. Это обычно помещает соответствующие каталоги в/etc/selinux/targeted/contexts/files/file_contexts.homedirs. Например, у меня есть та же установка, но с/Var/svn, добавленным с useradd, и вот выборка того файла, добавленного автоволшебно:

#
# Home Context for user unconfined_u
#

/var/svn/[^/]*/.+       system_u:object_r:user_home_t:s0
/var/svn/[^/]*/.pulse(/.*)?     system_u:object_r:gnome_home_t:s0
/var/svn/[^/]*/.gnome2(/.*)?    system_u:object_r:gnome_home_t:s0
/var/svn/[^/]*/.*/plugins/nppdf\.so     --      system_u:object_r:textrel_shlib_t:s0
/var/svn/[^/]*/.*/plugins/nppdf\.so.*   --      system_u:object_r:textrel_shlib_t:s0
/var/svn/[^/]*/((www)|(web)|(public_html)|(public_git))(/.+)?      system_u:object_r:httpd_user_content_t:s0
/var/svn/[^/]*/\.ssh(/.*)?      system_u:object_r:ssh_home_t:s0

(длительный)

После того как это - установка, простой restorecon-Rv/var/git должен добиться цели.

5
задан 23 June 2010 в 17:09
1 ответ

dig команда проста:

% dig +dnssec www.isoc.org.

; <<>> DiG 9.6.0-APPLE-P2 <<>> +dnssec www.isoc.org.
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49304
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 7, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;www.isoc.org.          IN  A

;; ANSWER SECTION:
www.isoc.org.       86382   IN  A   212.110.167.157
www.isoc.org.       86382   IN  RRSIG   A 7 3 86400 20100706205007 20100622205007 56495 isoc.org. ETERh/blyD1LvW+hCeET9Zy/XTdTewilU8nhA5HCGtNoccdjPN/4pBg6 Vv2S/nJTZfQu7S1KwFJpijSg0n81A8Fpr1rjlS4AfKZgiSA6ureGDOzZ J4MImGFb9h1lG7qBrJ3Psmzs292obZfA98oJstsTzd4tNwFQf5bp5pDJ KoU=

Примечание две вещи:

  1. +dnssec флаг - это просит, чтобы Ваш сервер DNS проверил зональные данные.
  2. ad запись в flags строка ответа. Это подтверждает, что зональные данные корректны.

[если бы зональные данные были неправильными, сервер возвратил бы a SERVFAIL ошибка вместо этого]

Однако Ваш сервер DNS на самом деле не возвратит это ad отметьте, если это не было настроено для выполнения самой проверки DNSSEC. Мой имеет, конечно.

Можно включить DNSSEC в рекурсивном сервере BIND путем добавления следующих строк к Вашему named.conf файл:

    dnssec-enable yes;
    dnssec-validation yes;

и копия открытого ключа корневой зоны. Другие доменные имена могут затем быть проверены следующим цепочка подписей через иерархию DNS.

Вам также будет нужна довольно последняя версия Вашего программного обеспечения DNS - только более новые версии поддерживают RSA/SHA-256 алгоритм шифрования, это будет использоваться для подписания корня. Это означает BIND 9.6.2 +, или Развязанный 1.4.0 +

10
ответ дан 3 December 2019 в 01:11

Теги

Похожие вопросы