Dag-Erling Smorgrav жжот

Eugene Grosbein написал(а) к All в Oct 18 23:17:30 по местному времени:

Привет!

Делаем раз: обычная чистая установка FreeBSD любого релиза
раньше 12.0 (которого ещё нет) или установка в виде NanoBSD
с каталогом /var, в котором при загрузке нет /var/unbound/root.key -
это файл с ключиками, которыми проверяются ответы, имеющие подписи,
а нынче все корневые сервера и сервера первого уровня подписывают ответы.

Делаем два: используем штатный local_unbound из базовой системы (1.5.10)
в качестве DNS-рекурсора и кеша.

Делаем три: загружаемся в тот момент, когда связи с внешним
миром нет - авария у провайдера или там согласование PPPoE затянулось.

Стартовый скрипт local_unbound не находит root.key, пытается его обновить
и обламывается из-за отсутствия связи. Но всё равно запускает демона
unbound, который в таком случае использует встроенную копию ключа,
которая 11 октября 2018 протухла.

Нappy KSK rollover day!

unbound отбрасывает все ответы, хоть работает напрямую,
хоть через форвардеров ISC BIND из-за багов в древней версии 1.5.10

И нет, в local_unbound не прописана зависимость от NETWORKING
или netwait, поэтому netwait_enable в rc.conf не всегда помогает.

Dag-Erling Smorgrav, маинтейнер local_unbound:

> That's not a supported configuration.
> The local_unbound service was never intended to be started without
> a network connection.
> Please send patches.

В 12.0, к счастью, будет unbound свежее, который вроде бы сам
умеет обновлять ключик, без ансамбля.

Eugene
--
Господа Действительного Положения Вещей предохраняют себя от голода своим
богатством, от общественного мнения - тайной и анонимностью,
от частной критики - законами против клеветы и тем, что средства связи
находятся в их распоряжении. (Норберт Винер)
--- slrn/1.0.3 (FreeBSD)