ゆとりインフラエンジニアのブログ的な何か

駆け出しインフラエンジニアのブログ

身近なリゾルバーのDNSSEC検証の有無

きっかけ


dnssec-failed.orgとは

dnssec-failed.org | DNSViz
DNSSECの状態を可視化できるDNSVizというサイトを見るとわかりやすい。
KSKのDNSKEYと、上位のゾーン(org)に登録されているDSレコードが等価でないので信頼の連鎖が途切れている状態。
つまり、DNSSEC検証が失敗するはずのドメイン名。

方法

digの場合は

$ dig +dnssec @[リゾルバーのIP] dnssec-failed.org

drillの場合は

$ drill -D @[リゾルバーのIP] dnssec-failed.org

+dnssecとは

digのmanより

  1. [no]dnssec

Requests DNSSEC records be sent by setting the DNSSEC OK bit (DO) in the OPT record in the additional section of the query.

DNSSEC検証が有効なリゾルバーの応答例

DNSSECを有効にする方法 – 日本Unboundユーザー会
上記設定のunbound(127.0.0.1でlisten)はstatusがSERVFAILになり、名前解決に失敗する。

$ dig +dnssec @127.0.0.1 dnssec-failed.org

; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 52581
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;dnssec-failed.org.             IN      A

;; Query time: 1280 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; MSG SIZE  rcvd: 46

ちなみに、DNSSEC検証が原因か、他の要素が原因かを切り分けるには+cdオプションをつけるとよい。

  1. cdをつけて名前解決が可能であれば、DNSSEC検証に失敗しているとわかる。

身近なリゾルバー

ゾルバーの選定基準: 利用しているorしていたサービス

ISP

名前 DNSSEC検証 RRSIG
IIJ 無効 有り
nifty 無効 有り

ホスティングサービス

名前 DNSSEC検証 RRSIG
IDCF cloud 無効 無し
ConoHa 無効 有り

パブリックDNS(Google Public DNS)

名前 DNSSEC検証 RRSIG
Google Public DNS 有効 -
OpenDNS 無効 無し
Verisign 有効 -

他にも見つけたら徐々に追加していく予定。

続きを読む

RIPE AtlasのProbeを設置してみた

f:id:yuuturn0422:20161130020928p:plain:w500

はじめに

最近、RIPE AtlasのProbeを入手したので、
RIPE Atlasとは何か、Probeの入手方法、またProbeを設置したら何ができるのかを書いていこうと思います。

RIPE Atlasとは

RIPE NCCによって実施されている、世界中のエンドユーザー側からインターネットへの到達性をモニタリングし、そのデータを集め視覚化したり、
また、Probeを設置している人には特定の計測を実施できる取り組みのことです。

個人でも参加できます!

続きを読む

DROWN(CVE-2016-0800)のセキュリティチェックツールをインストールしてた@CentOS6.7

きたる2016/3/1に予告されてたOpenSSLのセキュリティアドバイザリのなかで脆弱性が公開されましたね。
OpenSSL Security Advisory [1st March 2016]


そのなかで、大きく取り上げられているのがCVE-2016-0800、愛称が「DROWN」という脆弱性です。
脆弱性自体の詳細は他のまとめサイトなどを参照してみてください。
OpenSSLの脆弱性CVE-2016-800(DROWN)やCVE-2016-0702(CacheBleed)についてまとめてみた - piyolog


サーバー管理者として気になるのは、自身の運用しているサーバーに脆弱性があるか/ないかですね。
SSLv2なんて随分の昔に無効化してるよって思っても意外に、残ってたりするんです。
なので外部チェックは大事です。

続きを読む

SSLCipherSuite設定メモ2

以前、SSLCipherSuite設定メモ - ゆとりインフラエンジニアのブログ的な何か

ってタイトルでapacheSSL設定とかを書きましたが、

下記SSLのチェックサイトで、

SSL Server Test (Powered by Qualys SSL Labs)

 

あるサーバーでのWEBサイトの結果が、

SSLCipherSuiteの設定がA判定がでるサイト同じなのに、A判定にならないと悩んででいたのです。

 

出てくるアドバイス的なものを見ると、

The server does not support Forward Secrecy with the reference browsers

続きを読む

Hurricane Electricの無料DNSホスティングサービスを試す

HurricaneElectricといえばIPv6の無料トンネリングサービスが有名らしいですが、

DNSホスティングサービスも無料提供してるみたいです。

Hurricane Electric Hosted DNS

 

個人的に利用してみたので、簡単に利用方法と感想をレポートしてみます。

続きを読む

viでコメントアウト(not vim)

viしか使えないサーバ

メンテするサーバーにログインしたら、

vimは使えず、矩形選択モードがないviしか使えない環境だったりすることが多々あるのです。

そんなとき、sedとかで該当の行頭にsedで#とかを挿入してもいいのですけど、

目視で確認しながら、コメントアウトしたいってのが本音です。

 

続きを読む

Nagiosサーバを監視するbashスクリプトを書いた

【背景】

最近、Nagiosサーバを立ててみたけど、

Nagios自身が落ちてたら意味ないなー

と思ってもう一台Nagiosを立てるのもマンドクセ('A`)

 

そんな感じで、Nagiosのプロセス数を監視するbashスクリプト書いた

 Nagiosのプロセス数が0になると、アラートメールが飛ぶようになってる

(一応リカバリーメールも)

 

続きを読む