1. Knot resolver
5.2.0 https://readthedocs.org/projects/knot-resolver/downloads/pdf/stable/
https://www.knot-resolver.cz/download/
https://hub.docker.com/r/cznic/knot-resolver
1.1. 5.1.2
Debian / Ubuntu
wget https://secure.nic.cz/files/knot-resolver/knot-resolver-release.deb dpkg -i knot-resolver-release.deb apt update apt install -y knot-resolver
/etc/knot-resolver/kresd.conf
127.0.0.2 をlisten -- ToshinoriMaeno 2020-07-02 11:12:03
Single instance
To start the service:
systemctl start kresd@1.service
To start the service at boot:
systemctl enable kresd@1.service
1.2. 5.1.1
1.3. 3.2.0
3.2.0 をインストールした。
- knotlibが古いとリンクできない。(2.7.2 以上)
/Doc /2018-12-29 https://knot-resolver.readthedocs.io/en/stable/daemon.html (config設定など)
2.4.1 がでて、そのfixがかなり危ない脆弱性の修正だということだった。@SIG#
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-10920
Contents
/2.4.0 APIなどに大きな変更があったようで、2.3.0以前のものが動かない。
古いライブラリだと、2.4.0 以降はmake できない。どうしたものか。-- ToshinoriMaeno 2018-08-05 03:54:47
2.4.0を入れなおす。(ゼロから作る)
1.4. history
1.3.1が出ました。-- ToshinoriMaeno 2017-06-23 14:06:26
Answerあり返答中のAuthority/Additionalを無視するので、/動作例
- tssの「移転インジェクション」には耐性がある。
開発者の姿勢はDNSSECを使え、DNSを使わないのなら多少の危険は覚悟しろ、という印象だ。
- だが、DNSSECのような複雑な仕組みを使わなくても、
Kaminsky/Mueller手法によるNS毒は簡単にほぼ排除できると考える。/毒盛対策
1.5. nic.cz
DNS/実装/KnotDNSresolver --- DNS/Knot-DNS
1.6. GitHub
GitHub: https://github.com/CZ-NIC/knot-resolver
https://github.com/CZ-NIC/knot Knot-DNS
Issues: https://gitlab.labs.nic.cz/knot/resolver/issues
https://packages.debian.org/sid/mipsel/libknot-dev/filelist
1.7. 説明文書
http://knot-resolver.readthedocs.org/en/latest/daemon.html#c.mode
- mode('strict' | 'normal' | 'permissive')
- Returns: Change resolver strictness checking level.
1.8. knot-resolver-master
/build latest master requires libknot 2.1.0+,
/cache /resolve /etc config example
1.9. リゾルバーの情報源
ローカルファイル : ホワイトリスト、/etc/hosts
キャッシュ: pkt, rr, sig, ...
問い合わせの返答: pkt
1.10. 課題
/strict-modeはあるが、/negative-caching を活用するには至っていない。