unbound-libs a resolv.conf

Jan Kasprzak kas na fi.muni.cz
Středa Leden 18 17:02:11 CET 2017 

TL;DR: jen stiznost na dependency hell v CentOSu, pricemz tipy ke konfiguraci
	unbound-libs jsou vitany.

Dobry den,

mam takovy problem: na serverech s CentOSem na privatni siti mi firewall
zacal hlasit pokusy o pripojeni z tech serveru na ruzne IP adresy
v Internetu. I zacal jsem zkoumat, kdo se kam snazi pripojit, a co to
vlastne je za provoz. Zjistil jsem, ze jsou to packety na udp port 53,
a ze cilove IP adresy jsou vlastne korenove nameservery.

Tak jsem zkoumal kdo to dela, protoze v /etc/resolv.conf mam samozrejme
lokalni nameservery, takze neni duvod pristupovat na korenove. Nakonec
jsme zjistili, ze to delaji tyto  systemd unity:

/usr/lib/systemd/system/unbound-anchor.{timer,service}

Tyhle unity pochazeji z baliku unbound-libs, a zrejme se snazi aktualizovat
DNSSEC klic korenove domeny. Prilis mi ale neni jasne, proc u toho nepouziji
standardni nameservery z resolv.conf, ale jdou natvrdo na korenove
nameservery.

Jeste bizarnejsi je, jak se vlastne unbound-libs ocitly na mych serverech:
zrejme je tam dotahly jako svoji zavislost baliky gnutls-dane a gnutls-utils,
pricemz gnutls-utils jeste pro jistotu vyzaduje gnutls-dane. No a samotne
gnutls-utils jsou v systemu jako zavislost baliku libvirt-client.
Zrejme se to cele pouzije jen v pripade, ze by virsh chtel pristupovat
ke vzdalenemu libvirtu a pouzil k tomu autentizaci X.509 ceritifikatem.
Coz u me neni, takze cela tato masinerie je v systemu uplne zbytecne.

Tusite nekdo, jak vysvetlit unbound-libs, at pouzivaji standardni resolv.conf?
Podle strace to vypada, ze program /usr/sbin/unbound-anchor dokonce nacita
knihovnu libresolv.so, /etc/resolv.conf ale nikoliv (ani zadny soubor,
ktery by vypadal jako konfiguracni neotevira ani nestatuje).

Druha moznost je vypnout vyse uvedene dve unity, ale to se zase pak nekdo bude
divit, az gnutls zacne skutecne nekdo potrebovat.

	Diky,

-Y.

-- 
| Jan "Yenya" Kasprzak <kas at {fi.muni.cz - work | yenya.net - private}> |
| http://www.fi.muni.cz/~kas/                         GPG: 4096R/A45477D5 |
Assuming that OpenSSL is written as carefully as Wietse's own code,
every 1000 lines introduce one additional bug into Postfix."   --TLS_README

Další informace o konferenci Linux