Как изменить размер в начале / переместить раздел btrfs в командной строке?
После дополнительных исследований проблема, похоже, такова: быть следующим:
Первоначальная установка содержала как серверы пересылки, которые были DNSSEC -поддерживающими (GoogleDNS 8.8.8.8, 8.8.4.4), так и некоторые, которые не поддерживали (OpenDNS 208.67.222.222, 208.67.220.220) . У меня был запущен BIND9 с полностью включенным DNSSEC в соответствии со следующей конфигурацией:
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
a) Каждый раз, когда запрос (A?) Перенаправлялся на серверы GoogleDNS , my_server получал ответ (A) , отправил DNSSEC-запрос (DS?) и получил правильный ответ. Разрешение выполнено, подпись подтверждена, все работает как шарм, дело закрыто (см. Выше, нормальный случай ).
b) Каждый раз, когда запрос (A?) Пересылался на серверы OpenDNS , my_server получал ответ (A), отправлял DNSSEC-запрос (DS?), На который OpenDNS не отвечал. правильно, поскольку он не поддерживает DNSSEC. Таким образом, BIND9 выдал ошибку в системном журнале , заявив, что он получил небезопасный ответ и попытался получить его DNSSEC-проверку в другом месте (см. Выше проблемный случай ).
Я до сих пор не совсем понимаю, что тогда произошло, но, очевидно, именно тогда и началась икота. Теперь я не знаю, не любили ли серверы GoogleDNS выдавать DS? -Ответы без предварительного обслуживания соответствующего A? -Запроса. Но в обоих проблемных случаях (sueddeutsche.net, dasoertliche.de) кажется, что записи также не были должным образом подписаны, поэтому DNSSEC не произвел правильную проверку. Итак, проверка DNSSEC-lookaside (DLV) была запущена ( Type32769? ), и снова все пошло на убыль. Понятия не имею почему.
c) Решение: После всего этого я сделал следующее и пока не столкнулся ни с одной проблемой (так что кажется, что вопрос решен):
Во-первых, я переключил пересылки только на
forwarders { 8.8.8.8; 8.8.4.4; };
так что больше не будет путаницы в поддержке DNSSEC. Во-вторых, я закомментировал
//dnssec-lookaside auto;
, потому что после рытья большого количества tcpdump выяснилось, что всякий раз, когда разрешение медленное, задержки либо вызваны тем, что GoogleDNS тратит некоторое время на то, чтобы дать ответ (очень редко), либо - регулярно - случаются во время DLV. Поскольку использование DLV в настоящее время все равно прекращается, и в 2017 году записи больше не доступны
https://www.isc.org/blogs/dlv/
, я считаю, что это приемлемо с точки зрения безопасности.
Теперь альтернативным решением было бы отказаться от серверов GoogleDNS и использовать только OpenDNS в качестве серверов пересылки. Но тогда мне пришлось бы закомментировать все упомянутые выше dnssec-записи, полностью отключив DNSSEC, потому что OpenDNS не поддерживает его. Это оставит мои DNS-запросы открытыми для атак, которые потребуют добавления альтернативного уровня безопасности, такого как dnscrypt (как упомянул Руи Ф. Рибейро). Хотя это выглядит достойным проектом (поскольку он полностью шифрует трафик DNS, поэтому не только сохраняет его неизменным, но и нечитаемым для злоумышленников), он немного превышает мой текущий бюджет.
Любые эксперты DNS, которые хотят вмешаться, если объяснения выше имеют смысл?