Manpages

NÉV

dnssigner — aláírást ad a DNS zónafájlokhoz

ÁTTEKINTÉS

dnssigner [signer-name alapértelmezett-aláíró] [boot-file fájl] [debug-file fájl] [out-dir könyvtár] [seq-no szám] [

expiration-time [
(
+
| =)] idő ] [hide] [noaxfr] [nosign] [verify] [update-zonekey] [−dszint]

LEÍRÁS

A dnssigner (aláírja a DNS zónafájlokat) egy eszköz aminek segítségével aláírásokat generálhatunk a DNS (Domain Name System - Tartomány Név Rendszer) erőforrás bejegyzésekhez. A program generál NXT bejegyzéseket is minden zónára.

signer-name alapértelmezett-aláíró

Megadja az aláíráshoz használandó kulcs nevét, ha nem definiáltunk aláírót a boot fájl $SIGNER direktívája segítségével.

boot-file fájl

Megadja a dnssigner vezérlő fájlját, aminek a formátuma megegyezik a BIND-4 named.boot fájléval.

debug-file fájl

Átirányítja a hibakereső (debug) kimenetet a megadott fájlba; alapértelmezésben a signer_out-ba az aktuális könyvtárban.

out-dir könyvtár

Kiírja az aláírt fájlokat a megadott könyvtárba; alapértelmezésben /tmp-be.

MEGJEGYZÉS: A könyvtárat teljes elérési útvonallal kell megadni, a relatív elérési útvonalak nem biztos, hogy működnek.

expiration-time [
(
+
| =)] idő

Időpont amikor az aláírás bejegyzések lejárnak. Ha az idő argumentum előtt az ’’=’’ vagy a no jeleket használjuk (

pl. ’’
[=] idő’’ ), a program az időt abszolut időnek tekinti másodpercben (az érték elérésekor járnak le a bejegyzések.) (
MEGJEGYZÉS
: ezeket az időket a program Universal Time -ként kezeli. ) Ha megadjuk a ’’+’’ jelet (pl. ’’+idő’’), az idő argumentumot a program a jövőbe mutató offsetként kezeli.

Ha a lejárati időt (

expiration-time ) nem adjuk a meg a parancssorban, a program azt 3600*24*30 másodpercnek veszi (30 nap).

seq-no szám

A SOA bejegyzésben található sorozat számot a megadott szám értékre állítja be. Ha nem állítjuk be ezt a paramétert, a program a sorozat számot automatikusan az aktuális időből rakja össze. Force the serial number in the SOA records to the specified value.

hide

Ezen kapcsoló hatására, a joker bejegyzéseket tartalmazó zónákban lévő NXT bejegyzések a *.<zone> -ra fognak mutatni, mint következő hostra. Ennek az opciónak az az értelme, hogy elrejt minden információt az érvényes nevekről az adott zónában.

noaxfr

Kikapcsolja a zóna transzfer aláírás bejegyzések generálását. Ezek hitelesítik a teljes zóna transzfert.

nosign

Ha ezt a kapcsolót megadjuk, a program beolvasa a boot fájlokat, legenerálja a NXT bejegyzéseket és kiírja a zóna fájlt a kimeneti könyvtárba, nem generál viszont SIG bejegyzéseket. Ez a kapcsoló akkor hasznos, ha gyorsan ellenőrizni akarjuk a boot fájlok formátumát. Ezen túlmenően szét tudjuk válogatni segítségével a boot fájlokat DNSSEC sorrendbe.

verify

Ha ezt a kapcsolót megadjuk, a dnssigner ellenőriz minden aláírt bejegyzést és kiír egy megerősítő üzenetet minden ellenőrzött SIG után. Ez a kapcsoló főleg arra jó, hogy megnézzük mennyi ideig tart az aláírások generálára.

update-zonekey

Ha ezt a kapcsolót megadjuk, új bejegyzésekkel bővítjük a zónakulcsokat, amelyekkel a fájlokat aláírjuk. Használjuk ezt a kulcsot ha egy vagy több kulcsot frissítettünk. Ha a boot fájlokban nem adtunk meg zónakulcsokat, ez a kapcsoló megteszi ezt helyettünk. Ha nem adunk meg zónakulcsokat, az elsődleges névkiszolgálók vissza fogják dobni a zónát.

−dszint

Hibakeresési (debug) szint, amivel a dnssignert futtatjuk. Ezek a szintek megegyeznek a NAMED(8) által használtakkal.

RÉSZLETEK
A dnssigner beolvassa a BIND-4 named.boot és zónafájljait, hozzájuk adja a SIG és NXT bejegyzéseket és kiírja a bejegyzéseket egy fájlba (függetlenül attól, hogy a zóna eredetileg hány include fájlból állt). A dnssigner által generált fájlok normális szöveg zónafájlok, ezeket tölti be a NAMED(8) és így szolgálja ki a zónát. A dnssigner elvárja, hogy a PRIVÁT kulcs(ok) a bemeneti könyvtárban legyenek.

Ezeket a kimeneti fájlokat kézzel szerkeszteni kockázatos lehet, mert ha megváltoztatjuk a fájl tartalmát, azzal érvénytelen lesz egy vagy több benne lévő aláírás. Ennek eredményeképpen a zónát nem lehet majd a NAMED(8-ba) tölteni vagy nem lehet majd a zónából bejegyzéseket letölteni. Sokkal jobb, ha a változtatásokat a dnssigner bemeneti fájlján hozzuk létre, és újra futtatjuk a dnssignert.

Amikor a dnssigner egy delegációs pontot talál, létrehoz egy speciális <zone_name>.PARENT nevű fájlt, amibe beleírja azokat az erőforrás bejegyzéseket, amiket a szülő zóna hitelesít a gyermek zónának (NS, KEY NXT). Ez azzal a szándékkal történik, hogy a gyermek include-olja majd ezt a fájlt, amikor betölti az elsődleges névkiszolgálókat. Ehhez hasonlóan minden zónafájl végén megtalálható a ’’#include <zone_name>.PARENT’’ parancs. A .PARENT fájlban lévő bejegyzések nem számítanak bele a SIG(AXFR) számításokba, mert ezek a bejegyzések rendszerint másik aláírási ciklusba tartoznak.

A ’’$SIGNER [keyname]’’ direktívát megadhatjuk, ha meg akarjuk változtatni az aláírót az adott zónában. Ha a keyname argumentumot elhagyjuk, azzal kikapcsoljuk a hitelesítést. A kulcsokat akkor tölti be a program, amikor először hozzájuk nyúl. Csak azok a bejegyzések vesznek részt a SIG(AXFR) számításokban amelyeket a zóna aláíró hitelesített (azzal a kulcsal amivel a SOA is alá van írva). Általában nem javasolt, hogy egy zónán belül különböző kulcsokkal írjuk alá a különböző bejegyzéseket (kiv. ha dinamikus frissítés miatt jó).

KÖRNYEZET

A program nem használ környezeti változókat.

LÁSD MÉG

NAMED(8), RSAREF dokumentáció, Internet-Draft draft-ietf-dnssec-secext-10.txt a biztonságos DNS-ről, vagy az újabb változatait.

SZERZŐ

Olafur Gudmundsson (ogud [AT] tis.com)

KÖSZÖNET NYIVÁNÍTÁS

A program által használt titkosítási és matematikai algoritmusok az RSAREF vagy a BSAFE könyvtárakat használják.

MAGYAR FORDÍTÁS

Kovács Emese <emese [AT] eik.hu>

COMMENTS