dnssec-coverage, Befehl

Online bearbeiten

Zweck

Überprüft die zukünftige DNSKEY-Abdeckung für eine Zone

Syntax

dnssec-coverage [-K Verzeichnis] [-l Länge] [-f Datei] [-d DNSKEY-TTL] [-m Maximale Lebensdauer] [-r Intervall] [-c compilezone-Pfad] [-k] [-z] [Zone…]

Beschreibung

Der Befehl dnssec-coverage ist ein übergeordneter Python3 -Wrapper, der prüft, ob die Timing-Metadaten für die DNSSEC-Schlüssel für eine bestimmte Zone oder eine Gruppe von Zonen ordnungsgemäß festgelegt sind, um sicherzustellen, dass die DNSSEC-Abdeckung in Zukunft nicht mehr abläuft.

Wenn zone angegeben ist, werden Schlüssel, die in dem Schlüsselrepository gefunden werden, das mit der Zone übereinstimmt, gescannt und es wird eine geordnete Liste der Ereignisse generiert, die für diesen Schlüssel geplant sind (d. h. Veröffentlichung, Aktivierung, Inaktivierung, Löschung). Die Liste der Ereignisse wird in der Reihenfolge ihres Auftretens ausgeführt. Eine Warnung wird generiert, wenn ein Ereignis dazu führen kann, dass die Zone in einen Status eintritt, in dem Validierungsfehler auftreten können. Dies kann beispielsweise der Fall sein, wenn die Anzahl der veröffentlichten oder aktiven Schlüssel für einen bestimmten Algorithmus auf null fällt oder wenn ein Schlüssel zu bald nach dem Rollover eines neuen Schlüssels aus der Zone gelöscht wird und die zwischengespeicherten Daten, die von dem vorherigen Schlüssel signiert wurden, keine Zeit hatten, um aus den Auflösungscaches zu verfallen.

Wenn zone nicht angegeben ist, werden alle Schlüssel im Schlüsselrepository durchsucht und alle Zonen, für die Schlüssel verfügbar sind, analysiert. (Anmerkung: Diese Berichtsmethode ist nur dann korrekt, wenn alle Zonen mit Schlüsseln in einem angegebenen Repository dieselben TTL-Parameter verwenden.)

Flags

-K -Verzeichnis
Legt das Verzeichnis fest, in dem sich Schlüssel befinden. Standardmäßig wird das aktuelle Arbeitsverzeichnis verwendet.
-f Datei

Wenn eine Datei angegeben wird, wird die Zone aus dieser Datei gelesen. Die größte TTL und die DNSKEY-TTL werden direkt aus den Zonendaten bestimmt und die Optionen -m und -d müssen nicht angegeben werden.

-l Dauer

Die Dauer der Überprüfung auf DNSSEC-Abdeckung. Schlüsselereignisse, die nach der angegebenen Dauer geplant wurden, werden ignoriert und als korrekt angenommen.

Der Wert für Dauer kann in Sekunden oder in Zeiteinheiten durch Hinzufügen eines Suffixes festgelegt werden: mi für Minuten, h für Stunden, d für Tage, w für Wochen, mo für Monate, y für Jahre.

-m Maximale Lebensdauer

Legt den Wert fest, der als maximale Lebensdauer für die Zone oder Zonen verwendet werden soll, die analysiert werden, um die Möglichkeit eines Validierungsfehlers zu ermitteln. Wenn ein Zonensignierschlüssel inaktiviert wird, muss genügend Zeit vorhanden sein, damit der Datensatz in der Zone mit der längsten Lebensdauer aus den Resolver-Caches abläuft, bevor dieser Schlüssel aus dem DNSKEY-RRset gelöscht werden kann. Wenn diese Bedingung nicht zutrifft, wird eine Warnung generiert.

Die Länge der Lebensdauer kann in Sekunden oder in Zeiteinheiten durch Hinzufügen eines Suffixes festgelegt werden: mi für Minuten, h für Stunden, d für Tage, w für Wochen, mo für Monate, y für Jahre.

Diese Option ist nicht erforderlich, wenn das Flag -f zur Angabe einer Zonendatei verwendet wurde. Wenn das Flag -f angegeben ist, kann diese Option verwendet werden. Sie überschreibt den in der Datei gefundenen Wert.

Wenn diese Option nicht verwendet wird und die maximale Lebensdauer nicht aus einer Zonendatei abgerufen werden kann, wird eine Warnung generiert und ein Standardwert von 1 Woche verwendet.

-d DNSKEY-TTL

Legt den Wert fest, der als DNSKEY-TTL für die Zone oder Zonen verwendet werden soll, die analysiert werden, um die Möglichkeit eines Validierungsfehlers zu ermitteln. Wenn ein Schlüssel rückgängig gemacht (d. h. durch einen neuen Schlüssel ersetzt) wird, muss genügend Zeit vorhanden sein, damit das alte DNSKEY-RRset aus den Resolver-Caches abläuft, bevor der neue Schlüssel aktiviert wird und mit der Generierung von Signaturen beginnt. Wenn diese Bedingung nicht zutrifft, wird eine Warnung generiert.

Die Länge der Lebensdauer kann in Sekunden oder in Zeiteinheiten durch Hinzufügen eines Suffixes festgelegt werden: mi für Minuten, h für Stunden, d für Tage, w für Wochen, mo für Monate, y für Jahre.

Diese Option ist nicht erforderlich, wenn mit dem Flag -f eine Zonendatei angegeben wird, aus der die TTL des DNSKEY-RRset gelesen werden kann, oder wenn mit dem Flag -L im Befehl dnssec-keygen eine Standardschlüssel-TTL festgelegt wurde. Wenn eine dieser Bedingungen zutrifft, kann diese Option weiterhin verwendet werden. Er überschreibt die in der Zonendatei oder der Schlüsseldatei gefundenen Werte.

Wenn diese Option nicht verwendet wird und die Schlüssel-TTL nicht aus der Zonendatei oder der Schlüsseldatei abgerufen wird, wird eine Warnung generiert und ein Standardwert von 1 Tag verwendet.

-r -Neusignierintervall

Legt den Wert fest, der als Neusignierintervall für die Zonen verwendet werden soll, die analysiert werden, um die Möglichkeit eines Validierungsfehlers zu ermitteln. Der Standardwert ist 22.5 Tage. Dies ist auch der Standardwert in der Datei named.conf . Wenn der Wert jedoch durch die Option sig-validity-interval in der Datei named.conf geändert wurde, müssen Sie den Wert auch mit dem Flag -r aktualisieren.

Die Dauer des Intervalls kann in Sekunden oder in Zeiteinheiten durch Hinzufügen eines Suffixes festgelegt werden: mi für Minuten, h für Stunden, d für Tage, w für Wochen, mo für Monate, y für Jahre.

-k

Überprüft nur die KSK-Abdeckung und ignoriert ZSK-Ereignisse. Kann nicht zusammen mit dem Flag -z verwendet werden.

-z

Nur ZSK-Abdeckung prüfen und KSK-Ereignisse ignorieren. Kann nicht zusammen mit dem Flag -k verwendet werden.

-c compilezone-Pfad

Gibt einen Pfad zur named-compilezone -Binärdatei an. Wird zum Testen verwendet.