nsupdate schlägt fehl

[feldmaus]

Hi Alle,

bin am aufräumen, wie immer. Derzeit versuche ich meinen DNS Server zu perfektionieren. Ich nutze DDNS und DHCP. Hierfür wollte ich ein paar Einträge in meinen Zonen löschen. Ich nutze einen Key um das dynamische Updaten meiner Zonen durchzuführen. Mein Key sieht so aus.
/etc/bind/rndc.key

Code: Alles auswählen

key "mykey" {
	algorithm hmac-md5;
	secret "c5Vl024ucocV2pG7OSwUhg==";
};

Auf der Konsole meines Servers gebe ich folgendes ein.

Code: Alles auswählen

nsupdate -d -y mykey:c5Vl024ucocV2pG7OSwUhg==
server feld-server
update delete feld-bert.feldland.lan
send

Als Antwort bekomme ich

Code: Alles auswählen

Reply from SOA query:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id:  16147
;; flags: qr aa ra ; QUESTION: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; QUESTION SECTION:
;feld-bert.feldland.lan.		IN	SOA

;; AUTHORITY SECTION:
feldland.lan.		86400	IN	SOA	feld-server.feldland.lan. feldmann_markus.gmx.de. 3 28800 14400 2419200 86400

;; TSIG PSEUDOSECTION:
mykey.			0	ANY	TSIG	hmac-md5.sig-alg.reg.int. 1269549828 300 16 /filxiWeDmklFL2JAsZoOA== 16147 NOERROR 0 

Found zone name: feldland.lan
The master is: feld-server.feldland.lan
Sending update to 192.168.0.186#53
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:  37130
;; flags: ; ZONE: 1, PREREQ: 0, UPDATE: 1, ADDITIONAL: 1
;; UPDATE SECTION:
feld-bert.feldland.lan.	0	ANY	ANY	

;; TSIG PSEUDOSECTION:
mykey.			0	ANY	TSIG	hmac-md5.sig-alg.reg.int. 1269549828 300 16 55wfs3DkhPNY6BrEqBPcvQ== 37130 NOERROR 0 


Reply from update query:
;; ->>HEADER<<- opcode: UPDATE, status: SERVFAIL, id:  37130
;; flags: qr ra ; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 1
;; TSIG PSEUDOSECTION:
mykey.			0	ANY	TSIG	hmac-md5.sig-alg.reg.int. 1269549828 300 16 AANB5y0LWatIF24F32pZ0Q== 37130 NOERROR 0 

Was habe ich falsch gemacht? meine Zone wurde nicht verändert.

Grüße Markus

[feldmaus]

Kann mir vielleicht Jemand ein gutes Buch zu DHCP und DDNS und Linux (nicht Suse) empfehlen.

Grüße Markus

[feldmaus]

Ich habe nochmal einen HMAC-Schlüssel angelegt, den ich dann mit

Code: Alles auswählen

nsupdate -d -k Kfeld-server.feldland.lan.+157+34326.key 

eingeben konnte. In den Konfig's von Bind und DHCP habe ich folgendes eingegeben.

Code: Alles auswählen

key feld-server.feldland.lan. {
	algorithm HMAC-MD5.SIG-ALG.REG.INT;
	secret TNCrihQV8NjY6bzA5GMJIg==;
};

Und dann kann ich den Schlüssel auch nutzen. Allerdings scheint mir mein /etc/bind Ordner die falschen Berechtigungen zu haben. Beim experimentellen löschen eines Clients in meiner Bind-Zone habe ich folgende Meldungen erhalten.

Code: Alles auswählen

Mar 26 00:46:48 feld-server named[12313]: automatic empty zone: B.E.F.IP6.ARPA
Mar 26 00:46:48 feld-server named[12313]: command channel listening on 127.0.0.1#953
Mar 26 00:46:48 feld-server named[12313]: zone 0.in-addr.arpa/IN: loaded serial 1
Mar 26 00:46:48 feld-server named[12313]: zone 127.in-addr.arpa/IN: loaded serial 1
Mar 26 00:46:48 feld-server named[12313]: zone 0.168.192.in-addr.arpa/IN: loaded serial 3
Mar 26 00:46:48 feld-server named[12313]: zone 255.in-addr.arpa/IN: loaded serial 1
Mar 26 00:46:48 feld-server named[12313]: zone feldland.lan/IN: loaded serial 3
Mar 26 00:46:48 feld-server named[12313]: zone localhost/IN: loaded serial 2
Mar 26 00:46:48 feld-server named[12313]: running
Mar 26 00:48:20 feld-server dhcpd: DHCPRELEASE of 192.168.0.196 from 00:1d:92:ab:35:9f via br0 (found)
Mar 26 00:48:26 feld-server dhcpd: DHCPDISCOVER from 00:1d:92:ab:35:9f via br0
Mar 26 00:48:27 feld-server dhcpd: DHCPOFFER on 192.168.0.196 to 00:1d:92:ab:35:9f via br0
Mar 26 00:48:27 feld-server dhcpd: DHCPREQUEST for 192.168.0.196 (192.168.0.186) from 00:1d:92:ab:35:9f via br0
Mar 26 00:48:27 feld-server dhcpd: DHCPACK on 192.168.0.196 to 00:1d:92:ab:35:9f via br0
Mar 26 00:53:37 feld-server named[12313]: client 192.168.0.186#17101: signer "feld-server.feldland.lan" approved
Mar 26 00:53:37 feld-server named[12313]: client 192.168.0.186#17101: updating zone 'feldland.lan/IN': delete all rrsets from name 'feld-bert.feldland.lan'
Mar 26 00:53:37 feld-server named[12313]: journal file /etc/bind/db.feldland.lan.jnl does not exist, creating it
Mar 26 00:53:37 feld-server named[12313]: /etc/bind/db.feldland.lan.jnl: create: permission denied
Mar 26 00:53:37 feld-server named[12313]: client 192.168.0.186#17101: updating zone 'feldland.lan/IN': error: journal open failed: unexpected error
Mar 26 00:53:48 feld-server smartd[3181]: Device: /dev/hde, 1 Offline uncorrectable sectors
Mar 26 00:53:57 feld-server smartd[3181]: Device: /dev/hdh, SMART Usage Attribute: 194 Temperature_Celsius changed from 187 to 193
Mar 26 00:57:03 feld-server named[12313]: client 192.168.0.186#18015: signer "feld-server.feldland.lan" approved
Mar 26 00:57:03 feld-server named[12313]: client 192.168.0.186#18015: updating zone 'feldland.lan/IN': delete all rrsets from name 'feld-bert.feldland.lan'
Mar 26 00:57:03 feld-server named[12313]: journal file /etc/bind/db.feldland.lan.jnl does not exist, creating it
Mar 26 00:57:03 feld-server named[12313]: /etc/bind/db.feldland.lan.jnl: create: permission denied
Mar 26 00:57:03 feld-server named[12313]: client 192.168.0.186#18015: updating zone 'feldland.lan/IN': error: journal open failed: unexpected error

Man kann sehen das mein Bind Server schön die Zonen lädt und weiter unten Probleme hat die Journal Dateien anzulegen. Welche Berechtigungen muss mein Verzeichnis und die Dateien haben? Welcher Benutzer? Welche Gruppe?

named läuft bei mir als benutzer bind.

Grüße Markus

[nepos]

Man kann sehen das mein Bind Server schön die Zonen lädt und weiter unten Probleme hat die Journal Dateien anzulegen. Welche Berechtigungen muss mein Verzeichnis und die Dateien haben? Welcher Benutzer? Welche Gruppe?

named läuft bei mir als benutzer bind.

Und der User hat da alle nötigen Rechte? Wenn der named als User bind rennt, dann sollte wohl die Verzeichnisstruktur auch entsprechend aussehen.

[feldmaus]

Der User Bind hatte bei default nicht die nötigen Rechte. (Wink an Debian-Bind Maintainer) Ich habe es zwar umgestellt, trotzdem hätte ich mich über eine professionelle Anleitung gefreut. Ich will ja auch optimale Sicherheit.

Mit diesen Berechtigungen scheint es zumindest zu funktionieren, ob es optimale Sicherheit bietet weiß ich nicht.

drwxrwsr-x 2 root bind 4096 26. Mär 16:05 bind

-rw-r--r-- 1 root root 237 20. Dez 21:21 db.0
-rw-r--r-- 1 root root 271 20. Dez 21:21 db.127
-rw-r--r-- 1 bind bind 440 26. Mär 16:05 db.192.168.0
-rw-r--r-- 1 bind bind 806 26. Mär 15:45 db.192.168.0.jnl
-rw-r--r-- 1 root root 237 20. Dez 21:21 db.255
-rw-r--r-- 1 root root 353 20. Dez 21:21 db.empty
-rw-r--r-- 1 bind bind 401 26. Mär 15:35 db.feldland.lan
-rw-r--r-- 1 bind bind 1266 26. Mär 15:19 db.feldland.lan.jnl
-rw-r--r-- 1 root root 270 20. Dez 21:21 db.local
-rw-r--r-- 1 root root 2878 20. Dez 21:21 db.root
-rw-r----- 1 root bind 68 26. Mär 00:18 Kfeld-server.feldland.lan.+157+34326.key
-rw-r----- 1 root bind 92 26. Mär 00:18 Kfeld-server.feldland.lan.+157+34326.private
-rw-r--r-- 1 root bind 1794 26. Mär 00:46 named.conf
-rw-r--r-- 1 root bind 578 26. Mär 00:23 named.conf.local
-rw-r--r-- 1 root bind 732 25. Mär 21:32 named.conf.options
-rw-r----- 1 bind root 91 26. Mär 16:01 rndc.key
-rw-r--r-- 1 root root 1317 20. Dez 21:21 zones.rfc1918

Grüße Markus

[ThorstenS]

Hi,
so mache ich das:

Code: Alles auswählen

# nsupdate -k Kintern.local.+157+35662.key
> update add sql.intern.local 86400 IN A 172.16.16.4
> send
> update add 4.16.16.172.in-addr.arpa 86400 IN PTR sql.intern.local
> send


# nsupdate -k Kintern.local+157+35662.key
> update delete maggy.intern.local
> send
> update delete 4.16.16.172.in-addr.arpa
> send
> quit

Edit:
Ich hab noch unten eingefügt, wie man den PTR löscht. Damit steht alles zusammen in diesem Post.

[feldmaus]

Hi,
so mache ich das:

Code: Alles auswählen

# nsupdate -k Kintern.local.+157+35662.key
> update add sql.intern.local 86400 IN A 172.16.16.4
> send
> update add 4.16.16.172.in-addr.arpa 86400 IN PTR sql.intern.local
> send


# nsupdate -k Kintern.local+157+35662.key
> update delete maggy.intern.local
> send

Gut das Du das hier nochmal ein Beispiel gegeben hast zu einem PTR Record. Das ist nämlich in der man-page ein klein wenig fehlerhaft. Nach der man-page müsste es eigentlich so aussehen.

nsupdate -k Kintern.local.+157+35662.key
> update sql.intern.local 86400 PTR 172.16.16.4

Funktioniert aber nicht, bzw. er würde nur die Forward-Zone updaten. (Wink an Maintainer)

Und von IN steht dort auch nix. Ich glaube das ist falsch?!

Grüße Markus

[ThorstenS]

Ich mach das seit woody so und das funktioniert einwandfrei auch noch unter squeeze - eben extra für dich nochmal getestet.

Hier die relevanten Ausschnitte aus der named.conf.local:

Code: Alles auswählen

key intern.local {
        algorithm hmac-md5;
        secret "xRLSiTqRBE2SGFD+CHVcX9YIjefXwG4OGZWdCvwHd7Uf3A0ZWTo2mLcVrBKaI7UbaAIXUfBpJ4M0XovKQj76Lg==";
};

zone "intern.local" IN {
        type master;
        file "db.intern.local";
        allow-update {key intern.local;};
};

zone "16.16.172.in-addr.arpa" IN {
        type master;
        file "db.172.16.16";
        allow-update {key intern.local;};
};

[feldmaus]

Danke Euch Beiden,

meine Dateien enthalten genau die von Dir (Thorsten) aufgeführten Befehle. nsupdate funktioniert auch wieder seit dem ich die Berechtigungen für das Verzeichnis umgestellt habe (Siehe oben). DDNS funktioniert allerdings immer noch nicht, aber das kläre ich gerade in einem anderen Thread.

Grüße Markus