maketestzonep – Online in der Cloud

PROGRAMM:

NAME/FUNKTION

genericrecords – generiert eine Test-DNSsec-Zone, die für DNSSEC verwendet werden kann

ZUSAMMENFASSUNG

genericrecords -v -d mytestzone.example.com

BESCHREIBUNG

Das Skript „genererecords“ generiert unter Angabe eines Domänennamens eine Zonendatei, die dann lautet
signiert und geändert, um Teile der Daten auf bestimmte Weise ungültig zu machen. Jeder generiert
Der Datensatz wird entsprechend benannt, wie die Sicherheitsdaten geändert werden (der Gooda-Datensatz wird dies tun).
einen A-Eintrag mit gültigen DNSSEC-Daten enthalten, der BadSeca-Eintrag enthält jedoch einen A-Eintrag
wenn die Signatur geändert wurde, um sie ungültig zu machen).

Die Ergebnisse dieses Prozesses können dann bereitgestellt und sichere Validatoren, Anwendungen usw. getestet werden.
und andere Software kann darauf geworfen werden, um zu sehen, ob sie ordnungsgemäß versagt oder erfolgreich ist
DNS-Sicherheitsrichtlinien werden bereitgestellt.

Nachdem die Dateien generiert wurden, sollten Sie sie ausführen Krapfen auf ihnen, um zu sehen, wie die Daten darin sind
wurde so manipuliert, dass es ungültig ist.

VORAUSSETZUNGEN

Zonesigner aus der dnssec-tools-Projektbindungssoftware 9.3.1 oder höher

BEKOMMEN GESTARTET

Um mit der Erstellung einer neuen Zone zu beginnen, müssen Sie Zonesigner anweisen, neue Schlüssel für zu erstellen
alle neuen Zonen, die maketestzone schafft. Somit der erste Lauf von maketestzone
Sollte aussehen, wie:

Erstes Mal:
maketestzone -k [ANDERE GEWÜNSCHTE OPTIONEN]

Anschließend können die generierten Zonendateien geladen und auf einem Testserver bereitgestellt werden.

Einmal alle 30 Tage (standardmäßig über Zonesigner) muss das Skript erneut ausgeführt werden
Erstellen Sie die Datensätze neu und signieren Sie die Daten neu, damit die Datumsstempel der Unterschrift gültig bleiben (oder in
einige Fälle ungültig).

Alle 30 Tage:
maketestzone [ANDERE GEWÜNSCHTE OPTIONEN]

OPTIONAL

Nachfolgend sind die Optionen aufgeführt, die von der akzeptiert werden maketestzone Werkzeug.

Ausgang Reichen Sie das Benennung:
-o STRING
--output-file-prefix=STRING
Ausgabepräfix zur Verwendung für Zonendateien (Standard = db.)

-O STRING
--output-suffix-signed-file=STRING
Ausgabesuffix für Zonesigner (Standard = .zs)

-M STRING
--output-modified-file=STRING
Ausgabesuffix für die geänderte Zonendatei (Standard = .modified)

-D
--run-donuts
Lassen Sie Donuts auf die Ergebnisse laufen

--donuts-output-suffix=STRING
Das für die Donuts-Ausgabe zu verwendende Dateisuffix (Standard = .donuts)

Ausgang Zone Information:
-d STRING
--domain=STRING
Domänenname, für den Datensätze generiert werden sollen

--ns=STRING
--name-servers=STRING
-n STRING
Durch Kommas getrennte name=addr-Nameserver-Datensätze

--a-addr=STRING
--a-record-address=STRING
Eine Datensatzadresse (IPv4), die in Daten verwendet werden soll

--aaaa-addr=STRING
--a-record-address=STRING
AAAA-Eintragsadresse (IPv6), die in Daten verwendet werden soll

Ausgang Daten-Management Typ Auswahl:
-p STRING
--record-prefixes=STRING
Durch Kommas getrennte Liste der zu verwendenden Datensatzpräfixe

-P STRING
--ns-prefixes=STRING
Durch Kommas getrennte Liste der zu verwendenden NS-Eintragspräfixe

-c
--no-cname-records
Erstellen Sie keine CNAME-Einträge

-s
--no-ns-records
Erstellen Sie keine Unterzonendatensätze

Aufgabe Auswahl:
-g
--dont-generate-zone
Generieren Sie die Zone nicht; Verwenden Sie das Vorhandene und signieren/ändern Sie es

-z
--dont-run-zonesigner
Führen Sie Zonesigner nicht aus, um die Datensätze zu signieren

-Z
--nicht-zerstören
Vernichten Sie die Unterlagen nicht und hinterlassen Sie sie ordnungsgemäß unterschrieben

--bind-config=STRING
Generieren Sie einen Bind-Konfigurationsdateiausschnitt, um die DB-Sets zu laden

--html-out=STRING
Generieren Sie eine HTML-Seite mit einer Liste von Datensatznamen

--apache-out=STRING
Generieren Sie einen Apache-Konfigurationsausschnitt zum Konfigurieren von Apache für jeden Zoneneintrag

--sh-test-out=STRING
Generieren Sie ein Testskript zum Ausführen von Dig-Befehlen

-v
- ausführlich
Ausführliche Ausgabe

Zonesigner Konfiguration:
-ein Faden
--zonesigner-arguments=STRING
Argumente, die an Zonesigner übergeben werden sollen

-k
--generate-keys
Lassen Sie Zonesigner die benötigten Schlüssel generieren

Binden Konfiguration Optionen
--bind-db-dir=STRING
Das Basisverzeichnis, in dem die Bind-DB-Dateien abgelegt werden

HTML Ausgang Konfiguration
--html-out-add-links
Machen Sie aus jedem HTML-Eintragsnamen einen http-Link zu dieser Adresse

--html-out-add-db-links
Fügen Sie einen Link zu jeder der generierten DB-Dateien hinzu.

--html-out-add-donuts-links
Fügen Sie einen Link zu jeder der generierten Donuts-Fehlerlistendateien hinzu.

SH Test Skript Konfiguration Optionen
--sh-test-resolver=STRING
Die zu erzwingende Resolveradresse

Hilfe Optionen
-h Zeigt eine Hilfezusammenfassung an (kurze Flags werden bevorzugt)

--help
Eine Hilfezusammenfassung anzeigen (lange Flags bevorzugt)

--help-full
Alle Hilfeoptionen anzeigen (sowohl kurz als auch lang)

--Version
Zeigt die Versionsnummer des Skripts an.

HINZUFÜGEN NEUEN! AUSGABE

Im folgenden Abschnitt wird erläutert, wie Sie das erweitern können maketestzone Werkzeug mit neuer Ausgabe
Änderungen.

HINZUFÜGEN LEGENDE INFORMATIONEN
Für die Legenden-HTML-Ausgabe enthält der %LegendInformation-Hash einen Schlüsselnamen und eine Beschreibung
für jeden Änderungstyp.

HINZUFÜGEN NEUEN! UNTERZONE UNTERSCHIEDE
Das %zonesigner_domain_opts Hash listet zusätzliche Argumente zwischen der Funktionsweise von Zonesigner auf
für verschiedene Subdomains aufgerufen. So können Sie weitere Unterzonen mit unterschiedlichen Merkmalen erstellen
Zonesigner-Optionen zum Testen anderer Betriebsparameter zwischen übergeordnetem und untergeordnetem Element. Für
Beispiel:

'rollzsk-ns.' . $opts{'d'} => '-rollzsk',

Zwingt die rollzsk-ns-Testunterzone, ihren ZSK zu rollen, wenn die Zone signiert wird.

HINZUFÜGEN NEUEN! RECORD ÄNDERUNGEN
Maketestzone befindet sich in einem frühen Entwicklungsstadium, hat aber bereits die Anfänge einer
Erweiterbares System, mit dem Sie Datensätze basierend auf der Unterroutine regexp => nach Belieben ändern können
Haken.

Um eine neue Änderung hinzuzufügen, fügen Sie ein neues Schlüsselwort zu den Standardflags „p“ und optional „P“ hinzu
(oder fügen Sie es zur Laufzeit hinzu) und fügen Sie dann eine neue Funktion zur Liste der in definierten Rückrufe hinzu
der %destroyFunctions-Hash, der auf Ihrem neuen Schlüsselwort basiert. Wenn die Datei abgerufen wird
analysiert und auf einen Datensatz trifft, der Ihrem Ausdruck entspricht, wird Ihre Funktion aufgerufen.
Argumente können der Funktion hinzugefügt werden, indem eine Array-Referenz an der ersten Stelle übergeben wird
Argument ist die aufzurufende Unterroutine, der Rest sind zusätzliche Argumente.
Ausgabezeilen sollten im $fh-Dateihandle ausgegeben werden.

Hier ist eine Beispielfunktion, die die RRSIG-Signatur des nächsten Datensatzes löscht:

sub delete_signatur {
# die ersten 2 Argumente werden immer übergeben; der andere war in der
# Array-Referenz, bei der das Unterprogramm registriert wurde.
my ($name, $type, $expr) = @_;

Verbose("Signaturen von $_[0] löschen");

# druckt die aktuelle Zeile
print $fh $_;

mein $inrec = 0;
während ( ) {
# Neuer Namenseintrag bedeutet, dass wir fertig sind.
last if /^\w/;

# Wir befinden uns in einem mehrzeiligen RRSIG-Datensatz
$inrec = 1 if (/$expr\s+$type/);

# Gibt die Zeile aus, wenn wir uns nicht im RRSIG-Datensatz befinden
print $fh $_ if (!$inrec);

# Wenn Sie mit der letzten Zeile des RRSIG-Datensatzes fertig sind, markieren Sie diese Stelle
$inrec = 0 if (/\)/);
}
}

Dies wird dann innerhalb von %destroyFunctions registriert. Hier ist ein Beispiel für die Registrierung
Funktion zum Löschen der Signatur in einem DS-Eintrag:

'^(nosig[-\w]+).*IN\s+NS\s+' => [\&delete_signature, 'DS', 'RRSIG'],

URHEBERRECHT

Copyright 2004-2013 SPARTA, Inc. Alle Rechte vorbehalten. Siehe die in COPYING enthaltene Datei
Details finden Sie im DNSSEC-Tools-Paket.

Verwenden Sie maketestzonep online über die Dienste von onworks.net