dnssec-覆盖命令
用途
检查区域的未来 DNSKEY 覆盖范围。
语法
dnssec-coverage [-K directory] [-l length] [-f file] [-d DNSKEY TTL] [-m maximum TTL] [-r interval] [-c compilezone path] [-k] [-z] [区域...]
描述
dnssec-coverage 命令是高级 Python3 包装器,用于验证是否为给定区域或一组区域的 DNSSEC 密钥正确设置了计时元数据,以确保 DNSSEC 覆盖范围不会发生将来的错误。
如果指定了 zone ,那么将扫描密钥存储库中与区域匹配的密钥,并生成针对该密钥 (即,发布,激活,不激活和删除) 调度的事件的有序列表。 事件列表按发生顺序运行。 如果任何事件可能导致区域进入可能发生验证失败的状态,那么将生成警告消息。 例如,如果给定算法的已发布或活动密钥数降至零,或者如果在卷动新密钥后过早从区域中删除密钥,并且先前密钥签署的高速缓存数据没有时间从解析器高速缓存中到期,那么
如果未指定 zone ,那么将扫描密钥存储库中的所有密钥,并分析所有可用密钥的区域。 (注: 仅当指定存储库中具有密钥的所有区域共享相同的 TTL 参数时,此报告方法才是准确的)。
标志
- -K 目录
- 设置可在其中找到密钥的目录。 缺省为当前工作目录。
- -f File
如果指定了 文件 ,那么将从该文件读取区域。 最大 TTL 和 DNSKEY TTL 直接根据区域数据确定,无需指定 -m 和 -d 选项。
- -l 持续时间
检查 DNSSEC 覆盖范围的持续时间。 将忽略在指定持续时间之后调度的关键事件,并假定这些事件是正确的。
可以通过添加后缀
mi(表示分钟) ,h(表示小时) ,d(表示天) ,w(表示周) ,mo(表示月) ,y(表示年) 来设置 duration 的值 (以秒为单位)。- -m 最大 TTL
设置要用作为确定验证失败可能性而分析的一个或多个区域的最大 TTL 的值。 当取消激活区域签名密钥时,必须有足够的时间使具有最长 TTL 的区域中的记录从解析器高速缓存中到期,然后才能从 DNSKEY RRset 中清除该密钥。 如果该条件不适用,那么将生成警告。
可以设置 TTL 的长度 (以秒为单位) ,也可以通过添加后缀 (以时间为单位):
mi(表示分钟) ,h(表示小时) ,d(表示天) ,w(表示周) ,mo(表示月) ,y(表示年)。如果 -f 标志已用于指定区域文件,那么不需要此选项。 如果指定了 -f 标志,那么仍可以使用此选项; 它将覆盖文件中找到的值。
如果未使用此选项,并且无法从区域文件检索最大 TTL ,那么将生成警告,并使用缺省值 1 周。
- -d DNSKEY TTL
设置要用作为确定验证失败可能性而分析的一个或多个区域的 DNSKEY TTL 的值。 当滚动密钥 (即,替换为新密钥) 时,在激活新密钥并开始生成签名之前,必须有足够的时间使旧 DNSKEY RRset 从解析器高速缓存中到期。 如果该条件不适用,那么将生成警告。
可以设置 TTL 的长度 (以秒为单位) ,也可以通过添加后缀 (以时间为单位):
mi(表示分钟) ,h(表示小时) ,d(表示天) ,w(表示周) ,mo(表示月) ,y(表示年)。如果 -f 标志用于指定可从中读取 DNSKEY RRset 的 TTL 的区域文件,或者如果通过将 -L 标志与 dnssec-keygen 命令配合使用来设置缺省密钥 TTL ,那么不需要此选项。 如果其中任一条件为 true ,那么仍可以使用此选项。 它覆盖在区域文件或密钥文件中找到的值。
如果未使用此选项,并且无法从区域文件或密钥文件检索密钥 TTL ,那么将生成警告并使用缺省值 1 天。
- -r 辞职时间间隔
设置要用作为确定验证失败可能性而分析的一个或多个区域的重新运行时间间隔的值。 此值缺省为 22.5 天,这也是 named.conf 文件中的缺省值。 但是,如果此值已由 named.conf 文件中的
sig-validity-interval选项更改,那么还必须使用 -r 标志来更新该值。可以通过添加后缀
mi(表示分钟) ,h(表示小时) ,d(表示天) ,w(表示周) ,mo(表示月) ,y(表示年) 来设置时间间隔的持续时间 (以秒为单位)。- -k
仅检查 KSK 覆盖范围并忽略 ZSK 事件。 不能与 -z 标志一起使用。
- -z
仅检查 ZSK 覆盖范围并忽略 KSK 事件。 不能与 -k 标志一起使用。
- -c compilezone 路径
指定
named-compilezone二进制文件的路径。 用于测试。