Dag-Erling Smorgrav жжот

Eugene Grosbein написал(а) к All в Oct 18 23:17:30 по местному времени:

Привет!

Делаем раз: обычная чистая установка FreeBSD любого релиза
раньше 12.0 (которого ещё нет) или установка в виде NanoBSD
с каталогом /var, в котором при загрузке нет /var/unbound/root.key -
это файл с ключиками, которыми проверяются ответы, имеющие подписи,
а нынче все корневые сервера и сервера первого уровня подписывают ответы.

Делаем два: используем штатный local_unbound из базовой системы (1.5.10)
в качестве DNS-рекурсора и кеша.

Делаем три: загружаемся в тот момент, когда связи с внешним
миром нет - авария у провайдера или там согласование PPPoE затянулось.

Стартовый скрипт local_unbound не находит root.key, пытается его обновить
и обламывается из-за отсутствия связи. Но всё равно запускает демона
unbound, который в таком случае использует встроенную копию ключа,
которая 11 октября 2018 протухла.

Нappy KSK rollover day!

unbound отбрасывает все ответы, хоть работает напрямую,
хоть через форвардеров ISC BIND из-за багов в древней версии 1.5.10

И нет, в local_unbound не прописана зависимость от NETWORKING
или netwait, поэтому netwait_enable в rc.conf не всегда помогает.

Dag-Erling Smorgrav, маинтейнер local_unbound:

> That's not a supported configuration.
> The local_unbound service was never intended to be started without
> a network connection.
> Please send patches.

В 12.0, к счастью, будет unbound свежее, который вроде бы сам
умеет обновлять ключик, без ансамбля.

Eugene
--
Господа Действительного Положения Вещей предохраняют себя от голода своим
богатством, от общественного мнения - тайной и анонимностью,
от частной критики - законами против клеветы и тем, что средства связи
находятся в их распоряжении. (Норберт Винер)
--- slrn/1.0.3 (FreeBSD)

Eugene Grosbein написал(а) к All в Oct 18 23:19:48 по местному времени:

13 окт. 2018, суббота, в 22:17 NOVT, Eugene Grosbein написал(а):

EG> unbound отбрасывает все ответы, хоть работает напрямую,
EG> хоть через форвардеров ISC BIND из-за багов в древней версии 1.5.10

Забыл добавить: проблему решает добавление val-permissive-mode: yes
в unbound.conf для отключения проверок подписей.

Eugene
--
http://www.grosbein.net/papirosn.mp3
http://dadv.livejournal.com/2006/03/11/
--- slrn/1.0.3 (FreeBSD)

Victor Sudakov написал(а) к eugen в Oct 18 11:09:16 по местному времени:

Dear eugen,

13 Oct 18 23:17, Eugene Grosbein wrote to All:

[dd]

EG> В 12.0, к счастью, будет unbound свежее, который вроде бы сам
EG> умеет обновлять ключик, без ансамбля.

Как это сам, откуда если сети нет?

Я тут столкнулся с несколько другим приколом. Похоже что "/etc/rc.d/localunbound anchor" запускается то ли только при первичной настройке unbound, то ли у меня где-то руки кривые, но нашёл у себя при проверке перед KSK rollover пару систем со старым /var/unbound/root.key (без нового ключика). Запуск "/etc/rc.d/localunbound anchor" проблему вроде решил, но как оно должно было само сработать?

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20160322-b20160322

Eugene Grosbein написал(а) к Victor Sudakov в Oct 18 15:40:38 по местному времени:

14 окт. 2018, воскресенье, в 09:09 NOVT, Victor Sudakov написал(а):

EG>> В 12.0, к счастью, будет unbound свежее, который вроде бы сам
EG>> умеет обновлять ключик, без ансамбля.
VS> Как это сам, откуда если сети нет?

Имеется в виду, когда связь после старта таки появляется.
А версия 1.5.10 не справляется.

VS> Я тут столкнулся с несколько другим приколом. Похоже что
VS> "/etc/rc.d/local_unbound anchor" запускается то ли только при первичной
VS> настройке unbound, то ли у меня где-то руки кривые, но нашёл у себя при проверке
VS> перед KSK rollover пару систем со старым /var/unbound/root.key (без нового
VS> ключика). Запуск "/etc/rc.d/local_unbound anchor" проблему вроде решил, но как
VS> оно должно было само сработать?

По задумке маинтейнера, local_unbound anchor создаёт root.key, если его нет
и делает это до запуска демона unbound, обеспечивая ему хоть что-то
актуальное для начала работы (кроме встроенного и уже устаревшего ключа).

А дальше, имея актуальный root.key, демон сам его обновляет и обновления
сбрасывает в файл. Только в 1.5.10 из-за бага он не может этого сделать.

Eugene
--- slrn/1.0.3 (FreeBSD)

Victor Sudakov написал(а) к eugen в Oct 18 21:51:22 по местному времени:

Dear eugen,

14 Oct 18 15:40, Eugene Grosbein wrote to me:

EG>>> В 12.0, к счастью, будет unbound свежее, который вроде бы сам
EG>>> умеет обновлять ключик, без ансамбля.
VS>> Как это сам, откуда если сети нет?

EG> Имеется в виду, когда связь после старта таки появляется.
EG> А версия 1.5.10 не справляется.

VS>> Я тут столкнулся с несколько другим приколом. Похоже что
VS>> "/etc/rc.d/local_unbound anchor" запускается то ли только при
VS>> первичной настройке unbound, то ли у меня где-то руки кривые, но
VS>> нашёл у себя при проверке перед KSK rollover пару систем со
VS>> старым /var/unbound/root.key (без нового ключика). Запуск
VS>> "/etc/rc.d/local_unbound anchor" проблему вроде решил, но как оно
VS>> должно было само сработать?

EG> По задумке маинтейнера, local_unbound anchor создаёт root.key, если
EG> его нет и делает это до запуска демона unbound, обеспечивая ему хоть
EG> что-то актуальное для начала работы (кроме встроенного и уже
EG> устаревшего ключа).

А если аптайм большой и запуск local_unbound как таковой был чёрт знает когда?

EG> А дальше, имея актуальный root.key, демон сам его обновляет и
EG> обновления сбрасывает в файл.

Так вот не происходило этого, не обновлял он файлик, хотя машинка online месяцами без перерыва. А стоило только вручную сделать anchor, и файлик обновился.

EG> Только в 1.5.10 из-за бага он не может
EG> этого сделать.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20160322-b20160322

Eugene Grosbein написал(а) к Victor Sudakov в Oct 18 13:21:24 по местному времени:

14 окт. 2018, воскресенье, в 19:51 NOVT, Victor Sudakov написал(а):

EG>>>> В 12.0, к счастью, будет unbound свежее, который вроде бы сам
EG>>>> умеет обновлять ключик, без ансамбля.
VS>>> Как это сам, откуда если сети нет?
EG>> Имеется в виду, когда связь после старта таки появляется.
EG>> А версия 1.5.10 не справляется.
VS>>> Я тут столкнулся с несколько другим приколом. Похоже что
VS>>> "/etc/rc.d/local_unbound anchor" запускается то ли только при
VS>>> первичной настройке unbound, то ли у меня где-то руки кривые, но
VS>>> нашёл у себя при проверке перед KSK rollover пару систем со
VS>>> старым /var/unbound/root.key (без нового ключика). Запуск
VS>>> "/etc/rc.d/local_unbound anchor" проблему вроде решил, но как оно
VS>>> должно было само сработать?
EG>> По задумке маинтейнера, local_unbound anchor создаёт root.key, если
EG>> его нет и делает это до запуска демона unbound, обеспечивая ему хоть
EG>> что-то актуальное для начала работы (кроме встроенного и уже
EG>> устаревшего ключа).
VS> А если аптайм большой и запуск local_unbound как таковой был чёрт знает когда?

Ниже:

EG>> А дальше, имея актуальный root.key, демон сам его обновляет и
EG>> обновления сбрасывает в файл.
VS> Так вот не происходило этого, не обновлял он файлик, хотя машинка online
VS> месяцами без перерыва. А стоило только вручную сделать anchor, и файлик
VS> обновился.

Ниже:

EG>> Только в 1.5.10 из-за бага он не может
EG>> этого сделать.

Eugene
--
Поэты - страшные люди. У них все святое.
--- slrn/1.0.3 (FreeBSD)

Victor Sudakov написал(а) к eugen в Oct 18 23:07:36 по местному времени:

Dear eugen,

15 Oct 18 13:21, Eugene Grosbein wrote to me:

EG>>>>> В 12.0, к счастью, будет unbound свежее, который вроде бы сам
EG>>>>> умеет обновлять ключик, без ансамбля.
VS>>>> Как это сам, откуда если сети нет?
EG>>> Имеется в виду, когда связь после старта таки появляется.
EG>>> А версия 1.5.10 не справляется.
VS>>>> Я тут столкнулся с несколько другим приколом. Похоже что
VS>>>> "/etc/rc.d/local_unbound anchor" запускается то ли только при
VS>>>> первичной настройке unbound, то ли у меня где-то руки кривые,
VS>>>> но нашёл у себя при проверке перед KSK rollover пару систем со
VS>>>> старым /var/unbound/root.key (без нового ключика). Запуск
VS>>>> "/etc/rc.d/local_unbound anchor" проблему вроде решил, но как
VS>>>> оно должно было само сработать?
EG>>> По задумке маинтейнера, local_unbound anchor создаёт root.key,
EG>>> если его нет и делает это до запуска демона unbound, обеспечивая
EG>>> ему хоть что-то актуальное для начала работы (кроме встроенного
EG>>> и уже устаревшего ключа).
VS>> А если аптайм большой и запуск local_unbound как таковой был чёрт
VS>> знает когда?

EG> Ниже:

EG>>> А дальше, имея актуальный root.key, демон сам его обновляет и
EG>>> обновления сбрасывает в файл.
VS>> Так вот не происходило этого, не обновлял он файлик, хотя машинка
VS>> online месяцами без перерыва. А стоило только вручную сделать
VS>> anchor, и файлик обновился.

EG> Ниже:

EG>>> Только в 1.5.10 из-за бага он не может
EG>>> этого сделать.

Там, где я нашел залипший root.key, даже 1.5.7

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20160322-b20160322