Bind, DHCPd DDNS a problem s existujicimi SSHFP zaznamy
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Neděle Srpen 27 10:35:33 CEST 2017
On Sun, 27 Aug 2017, Michal Kašpar wrote:
> To je zajímavé. Jestli tomu celému, co tam píší, rozumím správně, tak
> je prakticky nemožné zavést DHCP + DDNS tam, kde už hrozí, že budou
> existovat FQDN pro klienty přidělené bez vytvoření DHCID RR. Ale asi
> lepší situace než veselé přepisování cizích záznamů.
Ještě jsem objevil, že existuje opšna "update-conflict-detection". Pokud
jí nastavíte na false, tak se server na nějaké DHCID nebude ohlížet a
všechno přenastaví nepodmíněně. To by na jedné straně možná dovolilo mít
ty extra záznamy, na druhé by to právě otevřelo cestu, jak by mohlo
prostřednictvím DHCP dojít ke zmasakrování záznamů, na které by se vůbec
nemělo sahat.
> Skoro mi přijde škoda, že se příslušný DHCP nerozhoduje jen na základě
> "svých" (tj. např. A nebo jen AAAA) záznamů a řídí se existencí FQDN,
> ale nejsem teď asi ve stavu domýšlet, jaké problémy by to mohlo případně
> způsobit.
Možná na něco přijdete, když se proberete historií toho RFC včetně různých
draftů, které tomu předcházely (např. draft-ietf-dhc-dhcp-dns).
Zajímavé je, že to vypadá, že dhclient se takto chová, protože při
provádění změn nastavuje příznak DDNS_INCLUDE_RRSET, který způsobí, že to
pak v common/dns.c kontroluje jen adresový záznam.
IMHO by možná bylo nejlepší, kdyby se ty extra záznamy také vytvářely a
rušily dynamicky. To by možná nejlépe odpovídalo způsobu, jakým to s těmi
záznamy pracuje. Trochu chyba ale je, že "on commit" to vykonává dřív,
než sám dělá změny v DNS a naopak "on release"/"on expiry" až po nich, a
tudíž by to asi také nešlo implementovat bez nějakého chirurgického
zákroku.
> Lepší by tedy bylo vyřešit příčinu, což je smazání těch záznamů po
> obnově DHCP serveru.
Dle mého soudu došlo k tomu, že DHCP server považoval po své resuscitaci
leasy za expirované, a proto je zrušil včetně dynamicky vyrobených záznamů
v DNS. A vzápětí je začal vyrábět znovu, jak klienti posílali žádosti.
Což vede k následující otázce: Pokud Vám někdy nějaký lease expiruje, tak
se dostanete do stejné situace. A pokud naopak leasy nikdy neexpirují,
brání něco tomu, abyste pro ně rezervoval IP adresu, DDNS zakázal a
opatřil je permanentními DNS záznamy?
--
Pavel Kankovsky aka Peak "Que sçay-je?"
Další informace o konferenci Linux