domain-name-system – BIND服务器有很多“无效的RRSIG”错误

发布时间:2020-01-13 发布网站:大佬教程
大佬教程收集整理的这篇文章主要介绍了domain-name-system – BIND服务器有很多“无效的RRSIG”错误大佬教程大佬觉得挺不错的,现在分享给大家,也给大家做个参考。
我在局域网上运行了一个仅向前的BIND9服务器,它每天记录数百个错误,如:
Aug 29 18:38:29 nuc named[850]: error (no valid RRSIG) resolving 'ubuntu.com/DS/IN': 75.75.75.75#53
Aug 29 18:38:31 nuc named[850]:   validating @0x7fc6d826ed50: com SOA: got insecure response; parent indicates it should be secure
Aug 29 18:38:31 nuc named[850]: error (no valid RRSIG) resolving 'medium.com/DS/IN': 75.75.75.75#53
Aug 29 18:38:31 nuc named[850]:   validating @0x7fc6d4014b80: com SOA: got insecure response; parent indicates it should be secure

似乎客户端仍在获得结果,但这些消息正在填满日志. named.conf中的相关行:

forwarders {
            # Comcast
            2001:558:feed::1;
            2001:558:feed::2;
            75.75.75.75;
            75.75.76.76;
    };
    forward only;

    dnssec-enable yes;
    dnssec-validation auto;
    dnssec-lookaside auto;

这些错误究竟意味着什么?这是我的结尾还是Comcast的错误配置?

解决方法

看起来Comcast的服务器故意从他们给你的响应中删除DNSSEC签名,因此你的服务器无法验证com. (在这种情况下)即使它知道应该签名.这不太可能导致任何直接明显的问题,它只会让您和您的用户对DNSSEC创建的所有攻击保持开放以防范.

正是为什么康卡斯特想要降低您的安全级别,您将不得不问他们.

大佬总结

以上是大佬教程为你收集整理的domain-name-system – BIND服务器有很多“无效的RRSIG”错误全部内容,希望文章能够帮你解决domain-name-system – BIND服务器有很多“无效的RRSIG”错误所遇到的程序开发问题。

如果觉得大佬教程网站内容还不错,欢迎将大佬教程推荐给程序员好友。

本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ群:277859234,请注明来意。