Bind, DHCPd DDNS a problem s existujicimi SSHFP zaznamy

Pavel Kankovsky peak na argo.troja.mff.cuni.cz
Neděle Srpen 27 10:35:33 CEST 2017 

On Sun, 27 Aug 2017, Michal Kašpar wrote:

> To je zajímavé. Jestli tomu celému, co tam píší, rozumím správně, tak
> je prakticky nemožné zavést DHCP + DDNS tam, kde už hrozí, že budou
> existovat FQDN pro klienty přidělené bez vytvoření DHCID RR. Ale asi
> lepší situace než veselé přepisování cizích záznamů.

Ještě jsem objevil, že existuje opšna "update-conflict-detection". Pokud 
jí nastavíte na false, tak se server na nějaké DHCID nebude ohlížet a 
všechno přenastaví nepodmíněně. To by na jedné straně možná dovolilo mít 
ty extra záznamy, na druhé by to právě otevřelo cestu, jak by mohlo 
prostřednictvím DHCP dojít ke zmasakrování záznamů, na které by se vůbec 
nemělo sahat.

> Skoro mi přijde škoda, že se příslušný DHCP nerozhoduje jen na základě 
> "svých" (tj. např. A nebo jen AAAA) záznamů a řídí se existencí FQDN, 
> ale nejsem teď asi ve stavu domýšlet, jaké problémy by to mohlo případně 
> způsobit.

Možná na něco přijdete, když se proberete historií toho RFC včetně různých 
draftů, které tomu předcházely (např. draft-ietf-dhc-dhcp-dns).

Zajímavé je, že to vypadá, že dhclient se takto chová, protože při 
provádění změn nastavuje příznak DDNS_INCLUDE_RRSET, který způsobí, že to 
pak v common/dns.c kontroluje jen adresový záznam.

IMHO by možná bylo nejlepší, kdyby se ty extra záznamy také vytvářely a 
rušily dynamicky. To by možná nejlépe odpovídalo způsobu, jakým to s těmi 
záznamy pracuje. Trochu chyba ale je, že "on commit" to vykonává dřív, 
než sám dělá změny v DNS a naopak "on release"/"on expiry" až po nich, a 
tudíž by to asi také nešlo implementovat bez nějakého chirurgického 
zákroku.

> Lepší by tedy bylo vyřešit příčinu, což je smazání těch záznamů po 
> obnově DHCP serveru.

Dle mého soudu došlo k tomu, že DHCP server považoval po své resuscitaci 
leasy za expirované, a proto je zrušil včetně dynamicky vyrobených záznamů 
v DNS. A vzápětí je začal vyrábět znovu, jak klienti posílali žádosti.

Což vede k následující otázce: Pokud Vám někdy nějaký lease expiruje, tak 
se dostanete do stejné situace. A pokud naopak leasy nikdy neexpirují, 
brání něco tomu, abyste pro ně rezervoval IP adresu, DDNS zakázal a 
opatřil je permanentními DNS záznamy?

-- 
Pavel Kankovsky aka Peak                      "Que sçay-je?"

Další informace o konferenci Linux