V předchozím dílu jsme si představili základy fungování a provozu DNSSEC na serveru Knot DNS. Dnes navážeme popisem některých dalších funkcí tohoto serveru, které s DNSSEC souvisí.
Nejčtenější články blogu CZ.NIC v roce 2021 aneb Co vás zajímalo nejvíce
Už několik let se na začátku ledna ohlížíme zpět, abychom si připomněli čtenářsky nejúspěšnější příspěvky našeho blogu za uplynulý rok. V roce 2021 vyšlo šedesát článků a mezi nejvyhledávanější patřily ty, které se věnovaly projektům mojeID a Turris, dále on-line bezpečnosti dětí na Internetu, programování nebo systému DNS. Přesněji se jednalo o následujících deset blogpostů:
Knot DNS – DNSSEC (1)
Internetový protokol DNS má počátky v roce 1983. Od svého vzniku prošel mnoha úpravami a je neustále rozvíjen. Mezi jeho nejvýznamnější rozšíření patří zabezpečení DNSSEC. O co jednodušší bylo v úvodním dílu zapnutí DNSSEC, o to složitější procesy probíhají pod kapotou. Dnes si přiblížíme jak DNSSEC funguje a jak ho lze efektivně provozovat se serverem Knot DNS.
Knot DNS – konfigurace
Abychom mohli server Knot DNS spustit, je třeba mu předložit nějakou konfiguraci. Konfigurace může být ve formě textového souboru nebo binární databáze. Pokud konfiguraci explicitně nezadáme, pokusí se démon použít konfiguraci z přednastaveného umístění, které je určeno při překladu programu. Nejprve se zkouší konfigurační databáze (většinou /var/lib/knot/confdb) a pokud neexistuje, zkouší se konfigurační soubor (většinou /etc/knot/knot.conf). Konfigurací může být prázdný soubor nebo prázdná databáze. Kromě démona knotd, využívá konfiguraci i nástroj knotc na ovládání démona, nástroj keymgr na správu DNSSEC a další.
Výsledky průzkumu: Nastavení DNS resolverů
DNS software je v současnosti velmi složitý. Výrobcům a vývojovým týmům chybí zpětná vazba o tom, jaké funkce se skutečně používají. Náš průzkum si kladl za cíl takové informace od uživatelů získat. Výsledky jsou popsány v tomto článku. K účasti na průzkumu byli pozváni uživatelé a správci DNS resolverů od jakéhokoliv dodavatele. Příspěvek navazuje na článek “Průzkum: Jak nastavujete DNS resolvery?”.
Knot DNS – zónové transfery
V úvodním dílu jsme si zprovoznili automatickou synchronizaci zóny na sekundárním serveru. Dnes si ukážeme jaké jsou další možnosti nastavení zónových transferů a co je jejich obsahem.
Knot DNS – správa zóny
V předchozím díle jsme si vytvořili jednoduchou zónu ve formě zónového souboru a dnes si povíme, jak s takovým souborem pracovat. Jedná se o nejčastější uživatelskou operaci a je užitečné jí porozumět.
Knot DNS – začínáme
Stále častěji se setkáváme s dotazy uživatelů, jak zprovoznit DNS server Knot DNS. Přestože se snažíme udržovat kvalitní dokumentaci, její obsah přímo nenabízí formu tutoriálu. Na praktických příkladech si tedy přiblížíme základy i pokročilejší možnosti tohoto software.
Migrace Hadoopu z Cloudera Express na Apache Bigtop
V CZ.NIC používáme Hadoop převážně k ukládání provozu z našich autoritativních DNS serverů pro doménu .CZ a provozu z našich veřejných resolverů ODVR. Ke sběru dat používáme náš vlastní nástroj DNS Probe, který nasbíraná data odesílá na Hadoop servery. K tomuto účelu provozujeme vlastních 7 až 8 serverů s instalací Hadoopu a několika podpůrných nástrojů (Hive, Spark, Impala,…). Proces sběru dat DNS provozu je ilustrován na obrázku níže.
Anymon
Dovolím si volně navázat na blogpost kolegy Zdeňka Brůny, který se před časem pokusil přiblížit problematiku generování a podepisování .CZ zóny pomocí lidsky pochopitelné metafory. I já bych rád poodkryl jednu z oblastí správy DNS, tentokrát zdokonalování monitoringu jednotlivých nodů našeho anycastu. Představme si, že provozujeme řetězec obchodů, poboček, a zajímá nás, jestli opravdu zaměstnanci pracují a pobočky mají otevřeno. Kontrolu můžeme dělat interně, tedy aby nám zaměstnanec nebo nějaký systém vždy po určitém intervalu odpovídal. To může zdatnější zaměstnanec nafixlovat, aby to vypadalo, že vše funguje, jak má. Ve skutečnosti ale zaměstnanci budou už doma s nohama na stole. Během toho budou naštvaní zákazníci zlověstně ťukat a lomcovat s dveřmi pobočky a pak psát nerudné komentáře, že je zavřeno, i když má být otevřeno. Ideální řešení by bylo, kdybychom měli někoho, kdo pravidelně půjde, vezme za kliku dveří a zkontroluje, že je otevřeno. Případně zburcuje manažera pobočky nebo nahlásí nefunkční pobočku firmě, která zmíněný řetězec provozuje.