Jahresrückblick 2014

In diesem Jahr haben mich privat und beruflich viele Themen beschäftigt, aber im Blog sind leider nur sehr wenige Artikel gelandet. Ich habe mich in die Virtualisierung mit OpenVZ eingearbeitet und benutze es nun neben Xen für einige virtuelle Maschinen. OpenVZ macht einen guten Eindruck auf mich und das Projekt soll 2015 durch eine engere Zusammenarbeit mit Parallels profitieren.

Für die Migration von Xen DomUs habe ich mehrere LVM-Volumes umgezogen. Ich habe mich etwas in Bootstrap für die Website Erstellung eingearbeitet. Ebenso in Jekyll für die Generierung von statischen Webseiten. Das Thema IPv6-Tunnel und dynamisches DNS hat mich am Jahresanfang beschäftigt. Ich habe mich auch mit der Ghost Blog-Software beschäftigt, habe aber nichts produktives damit gemacht. Es wird interessant das Projekt weiter zu verfolgen.

Für DNSSEC war es ein gutes Jahr. Ich konnte bei meinen verschiedenen Setups mit Bind und PowerDNS keine Probleme mehr feststellen. Im Zusammenspiel mit OpenDNSSEC wurden sogar einige Key-Rollover beim Registrar vollautomatisch und ohne Probleme durchgeführt.

Zum Schluss noch ein Thema, dass mich beruflich sehr beschäftigt hat: die neuen TLDs. Ich bin gespannt wie es 2015 auf dem Gebiet weiter geht. Es wird interessant sein die Renew-Zahlen zu sehen, wenn die TLDs jeweils ein Jahr frei registrierbar waren.

Bind 9.8.1-P1: DNSSEC signierte Zone einrichten wird ganz einfach

Ich muss sagen ich bin beeindruckt: mit Bind 9.8.1-P1 ist es jetzt noch einfacher geworden eine mit DNSSEC signierte Zone einzurichten.

Schlüssel erzeugen

Hierzu befinde ich mich für das Beispiel in /etc/bind/master/keys.

dnssec-keygen -f KSK example.com
dnssec-keygen example.com

Falls dieser Vorgang sehr lange dauert, weil man auf einer virtuellen Maschine unterwegs ist, kann man das ganze unter Ausnutzung von /dev/urandom (unter den üblichen kryptographischen Vorbehalten) beschleunigen:

dnssec-keygen -r /dev/urandom -f KSK example.com
dnssec-keygen -r /dev/urandom example.com

Die Zone in Bind für DNSSEC konfigurieren

Jetzt fehlt nur noch die Konfiguration für die Zone:

zone "example.com" {
  auto-dnssec maintain;
  type master;
  update-policy local;
  file "/etc/bind/master/example.com";
  key-directory "/etc/bind/master/keys";
};

Bind reload und fertig. 🙂

Mit den Zonen-Updates bin ich hier aber noch nicht ganz warm geworden. Dazu und hoffentlich auch zu den Key-Rollovern bald mehr. Bin dahin empfehle ich zur weiteren Lektüre: ISC: DNSSEC and Bind.

Artikel Updates

DNSSEC für die root

Seit gestern liefern die DNS root Nameserver nicht mehr den DURZ aus, sondern sind mit einer echten Signatur versehen. Der Übergang verlief in meinen Augen weitgehend unbemerkt. Probleme sind mir keine bekannt. Damit ist ein wichtiger Schritt getan um DNSSEC weiter zu etablieren. Jetzt heißt es auch erstmal die DNS Resolver neu zu konfigurieren, damit die Validierung von der root aus korrekt klappt. Hier noch ein paar interessante Seiten zu diesem Thema:

Bind9 Views

Eine Sache, die ich beim DNS-Server Bind9 bisher nicht kannte sind Views. Damit kann man abhängig von der anfragenden IP-Adresse bestimmte Einstellungen aktiv setzen und so z.B. Rekursion erlauben oder verbieten, oder abhängig von der IP andere Zonefiles ausliefern. Ein Anwendungsbeispiel wäre z.B. an die IP 127.0.0.1 (localhost) eine unsignierte Zone auszuliefern, die von einem signierenden Proxy wie OpenDNSSEC per AXFR abgeholt und signiert wird. Die signierte Version der Zone wird dann an alle öffentlichen IP-Adressen ausgeliefert.
Ein sehr guter Artikel mit Praxisbeispielen ist Views in BIND 9 – O’Reilly Media.