این دستور ods-ksmutil است که می تواند در ارائه دهنده هاست رایگان OnWorks با استفاده از یکی از چندین ایستگاه کاری آنلاین رایگان ما مانند Ubuntu Online، Fedora Online، شبیه ساز آنلاین ویندوز یا شبیه ساز آنلاین MAC OS اجرا شود.
برنامه:
نام
ods-ksmutil - مدیریت منطقه و کلید OpenDNSSEC
خلاصه
ods-ksmutil برپایی
ods-ksmutil [ شروع | متوقف کردن | مطلع ساختن ]
ods-ksmutil به روز رسانی [ کاسپ | منطقه لیست | کنفرانس | تمام ]
ods-ksmutil منطقه [ اضافه کردن | حذف کردن | فهرست ] ...
ods-ksmutil منطقه لیست [ واردات | صادرات ]
ods-ksmutil کلید [ تولید می کنند | واردات | صادرات | فهرست | پالایش | رتبه بندی | ksk-بازنشسته |
ds-seen | حذف کردن ] ...
ods-ksmutil رتبه بندی فهرست ...
ods-ksmutil سیاست [ صادرات | واردات | پالایش ] ...
ods-ksmutil مخزن فهرست ...
ods-ksmutil پشتیبان [ فهرست | آماده | مرتکب شدن | عقبگرد | انجام شده ]
ods-ksmutil پایگاه داده پشتیبان ...
شرح
ods-ksmutil عملکرد KASP Enforcer را که بخشی از OpenDNSSEC است، مدیریت می کند
که عملیات تولید کلید و امضا را در دامنه ها بر اساس سیاست های با
زمان بندی و الزامات امنیتی تعریف شده توسط کاربر از آنجایی که همه چیز فراتر از این مدیریت است
ابزار معمولاً خودکار است، ods-ksmutil ابزار اصلی برای مدیریت OpenDNSSEC است.
از جمله کارکردهای ods-ksmutil مدیریت کلید، به روز رسانی به لیست منطقه و
چرخاندن دستی کلیدها برای بازیابی از شرایط استثنایی مانند گم شدن کلید.
برای شروع، اولین فراخوانی از ods-ksmutil برپایی لازم است؛ راه اندازی و به روز رسانی را ببینید
دستورات زیر برای جزئیات. پس از انجام این کار، بقیه عملکردهای
ods-ksmutil در دسترس می شود.
بخشهای زیر فرمانهای فرعی را در گروههای منطقی مورد بحث قرار میدهند و هر گزینه را با جزئیات توضیح میدهند
که آنها حمایت می کنند.
عمومی OPTIONS
-c پیکربندی, - پیکربندی پیکربندی
فایل conf.xml استفاده شده را از حالت پیش فرض تغییر دهید.
کمک این می تواند به عنوان یک دستور فرعی برای استفاده شود ods-ksmutil و یا می توان آن را پس از جزئی استفاده کرد
دستور فرعی در پاسخ، ods-ksmutil خلاصه ای از چگونگی ادامه دادن را ارائه خواهد داد
فرمان
-V، - نسخه
نمایش شماره نسخه
برپایی و بروزرسانی دستورات فرعی
برپایی conf.xml، kasp.xml و zonelist.xml را به یک پایگاه داده وارد کنید. این هر کدام را حذف می کند
اطلاعات مدیریت فعلی از پایگاه داده با مدیریت OpenDNSSEC
اطلاعات، از جمله هرگونه ارجاع به کلیدها. بهروزرسانیهای یک راهاندازی موجود باید انجام شود
بنابراین معمولاً این دستور فرعی را اجرا نمی کنید، اما به روز رسانی به جای آن.
به روز رسانی کاسپ
به روز رسانی منطقه لیست
به روز رسانی کنفرانس
به روز رسانی تمام
پایگاه داده را با محتویات فایل پیکربندی مربوطه یا همه آن به روز کنید
آن فایل ها نتیجه قابل مقایسه با برپایی فرمان فرعی، به جز آن
اطلاعات مدیریت در مورد OpenDNSSEC حذف نشده است.(همچنین توجه داشته باشید که kasp را به روز کنید
هیچ سیاستی را از پایگاه داده حذف نمی کند، می توان از پاکسازی سیاست برای حذف استفاده کرد
سیاست های استفاده نشده).
منطقه MANAGEMENT دستورات فرعی
منطقه اضافه کردن --zone|-z منطقه [--سیاست|-ص نام] [--در نوع|-j نوع] [--out-type|-q نوع]
[--ورودی|-i ورودی] [--خروجی|-o تولید] [--no-xml]
هم به zonelist.xml و هم به پایگاه داده یک منطقه اضافه کنید. این معادل دستی است
ویرایش zonelist.xml و سپس اجرای به روز رسانی منطقه لیست دستور فرعی منطقه
گزینه نام منطقه برای اضافه کردن. گزینه --policy خط مشی مورد استفاده را نامگذاری می کند
پیش فرض --in-type و --out-type نوع ورودی و خروجی را مشخص می کند
آداپتورها (باید DNS یا File باشد، پیشفرض File است). گزینه --input a را مشخص می کند
مکان غیر استاندارد برای منطقه بدون علامت (پیشفرض است
/var/lib/opendnssec/unsigned/ZONE) یا فایل ورودی DNS (پیشفرض
/etc/opendnssec/addns.xml)؛ گزینه --output یک مکان غیر استاندارد را مشخص می کند
برای منطقه امضا شده (پیشفرض /var/lib/opendnssec/signed/ZONE) یا خروجی DNS
فایل (پیش فرض /etc/opendnssec/addns.xml است). پرچم --no-xml کار را متوقف می کند
فایل zonelist.xml در حال به روز رسانی است. این برای حالت دسته ای که در آن شما مناسب است
چندین منطقه اضافه می کند و سپس فقط یک بار در پایان منطقه لیست را می نویسد.
منطقه حذف کردن --zone|-z نام [--no-xml]
منطقه حذف کردن --همه|-a
یک منطقه (یا همه مناطق، به ترتیب) را از هر دو zonelist.xml و the حذف کنید
پایگاه داده این معادل ویرایش دستی zonelist.xml و سپس اجرای آن است
به روز رسانی منطقه لیست دستور فرعی پرچم --no-xml فایل zonelist.xml را متوقف می کند
در حال به روز شدن این برای حالت دسته ای مناسب است که در آن چندین مورد را حذف خواهید کرد
zones و سپس فقط یک بار در انتها zonelist بنویسید.
منطقه فهرست
مناطق را از zonelist.xml فهرست کنید. TODO: از پایگاه داده نیست؟
منطقه لیست صادرات
فهرست مناطق را از پایگاه داده با همان فرمت zonelist.xml صادر کنید
منطقه لیست واردات
همگام سازی پایگاه داده با محتویات zonelist.xml. یکسان به "به روز رسانی
منطقه لیست"
KEY MANAGEMENT دستورات فرعی
کلید تولید می کنند --سیاست|-ص نام --فاصله|-n فاصله [--zonetotal|-Z منطقه کل]
کلیدهای کافی برای ماندگاری خط مشی نامگذاری شده برای مدت زمانی ایجاد کنید
فاصله برای فرمت مشخصات زمان بندی، INTERVAL FORMAT را ببینید.
در صورت پیکربندی، OpenDNSSEC به صورت خودکار کلیدها را در صورت نیاز ایجاد می کند.
از این دستور می توان برای پیش تولید کلیدها استفاده کرد (شاید برای طول عمر مورد انتظار یک
HSM) برای کمک به سیاست های پشتیبان. همچنین یک روش مناسب برای پیش تولید است
مجموعه ای از کلیدها که به یک سایت بازیابی بلایا اجازه می دهد یک کپی از کلیدها را بدون آن داشته باشد
برای همگام سازی کلیدهای تولید شده در پرواز مورد نیاز است.
بهطور پیشفرض، این فرمان کلیدهایی را برای تمام مناطق یافت شده در مشخصشده ایجاد میکند
خط مشی. اگر پارامتر اختیاری --zonetotal مشخص شده باشد، کلیدها خواهند بود
تولید شده برای تعداد کل مناطق، صرف نظر از اینکه واقعاً چند منطقه هستند
در حال حاضر در سیاست
کلید واردات --الگوریتم|-g algname --bits|-b بیت --repository|-r مخزن --cka_id|-k کاید
--zone|-z منطقه --keytype|-t نوع --keystate|-e بود --time|-w زمان [--check-repository|-C
مخزن چک] [--بازنشستگی|-y زمان]
کلیدی را که خارج از کد OpenDNSSEC ایجاد شده است به پایگاه داده اضافه کنید. که در
با انجام این کار، جزئیات بیشتر مربوط به مدیریت کلید باید در آن مشخص شود
گزینه.
گزینه --algorithm الگوریتم مورد استفاده با این کلید را نامگذاری می کند. بیت -- مشخص می کند
قدرت این الگوریتم به عنوان یک اندازه کلید در بیت است.
گزینه --repository مخزنی که کلید باید در آن ذخیره شود را نامگذاری می کند. را
گزینه --cka_id نامی را مشخص می کند که برای شناسایی این کلید در آن استفاده می شود
مخزن؛ گزینه --zone منطقه ای را که قرار است از این کلید برای آن استفاده شود را مشخص می کند.
گزینه --keytype مشخص می کند که آیا این کلید باید به عنوان KSK یا ZSK عمل کند.
برای آشنایی با این اصطلاحات، کلید انواع زیر را ببینید.
گزینه --keystate وضعیتی را مشخص می کند که کلید پس از وارد کردن در آن قرار خواهد گرفت.
و باید یکی از گزینه های تعریف شده در قسمت KEY STATES زیر باشد. زمان
گزینه زمان ایجاد این کلید را مشخص می کند. گزینه --check-repository
مشخص کرد که اگر کلید منطبق با کلید مشخص شده نباشد، وارد کردن کلید باید با شکست مواجه شود
cka_id در مخزن وجود دارد. گزینه --retire زمان را مشخص می کند
کلید باید بازنشسته شود این دو گزینه آخر فرمت های داده شده در TIME را دارند
بخش FORMATS در زیر.
کلید صادرات --zone|-z نام [--keystate|-e بود] [--keytype|-t نوع] [--ds]
کلید صادرات --همه [--keystate|-e بود] [--keytype|-t نوع] [--ds]
کلیدهای یک منطقه خاص، یا به ترتیب برای همه مناطق، از
پایگاه داده از گزینه --ds می توان برای بازیابی رکوردهای DS برای آپلود در a استفاده کرد
رجیستری به جای کلید کامل؛ از گزینه --keystate می توان برای محدود کردن استفاده کرد
خروجی به کلیدها در یک وضعیت معین. می توان از گزینه --keytype برای محدود کردن استفاده کرد
خروجی به کلیدهای یک نوع معین را ببینید KEY انواع و KEY ایالت ها بخش در زیر
برای a مشخصات of ممکن انواع و حالات کلیدی
کلید فهرست [--منطقه نام] [--مختلف] [--keystate|--all|-e بود|-a] [--نوع کلید نوع|-t نوع]
اطلاعات مربوط به کلیدها را در همه مناطق یا در یک منطقه خاص فهرست کنید. با کلیدهای پیش فرض
در حالت GENERATE و DEAD نمایش داده نمی شود.
گزینه --verbose برای فهرست کردن اطلاعات اضافی در مورد هر کلید استفاده می شود.
گزینه --keystate را می توان برای محدود کردن خروجی به کلیدها در یک وضعیت معین استفاده کرد. اگر
گزینه --all استفاده می شود و سپس کلیدها در همه حالت ها (از جمله GENERATE و DEAD) هستند
نمایش داده. گزینه --keytype را می توان برای محدود کردن خروجی به کلیدهای یک داده استفاده کرد
نوع را ببینید KEY انواع و KEY ایالت ها بخش در زیر برای a مشخصات of
ممکن انواع و حالات کلیدی
کلید پالایش --zone|-z نام
کلید پالایش --سیاست|-ص نام
هر کلید در حالت مرده را از مخزن و از پایگاه داده حذف کنید
مجری KASP. برای محدود کردن این عملیات از گزینه های --zone و --policy استفاده می شود
به ترتیب یک منطقه یا سیاست واحد با نام.
کلید رتبه بندی --zone|-z نام ---نوع کلید نوع|-t نوع
کلید رتبه بندی --zone|-z نام --همه|-a
کلید رتبه بندی --سیاست|-ص نام ---نوع کلید نوع|-t نوع
کلید رتبه بندی --سیاست|-ص نام --همه|-a
کلیدهای فعال را به ترتیب در منطقه یا خط مشی نامگذاری شده جابجا کنید. این دستور است
برای شروع چرخش دستی استفاده می شود. اگر داده نشود، OpenDNSSEC به طور خودکار انجام می شود
کلیدهای چرخشی در صورت نیاز (یا در مورد KSK ها شروع به کار می کند
فرآیند rollover، برای پایان دادن به KSK rollover را ببینید ksk-roll زیر.)
گزینه --keytype نوع کلید را مشخص می کند. متناوبا - همه
می توان از گزینه ای استفاده کرد که هر دو نوع کلید را می چرخاند. پس از اجرا، KASP
مجری بیدار می شود تا اطلاعات جدید برای امضاکننده ارسال شود.
اگر خط مشی ای که منطقه روی آن قرار دارد، مشخص می کند که کلیدها به اشتراک گذاشته می شوند، همه مناطق روی آن قرار دارند
این سیاست اعمال خواهد شد. در صورت لزوم، یک نسخه پشتیبان از فایل sqlite DB ساخته می شود.
اگر هیچ کلیدی برای گرفتن کلید فعلی وجود نداشته باشد، جابجایی انجام خواهد شد
بلافاصله رخ نمی دهد، اما تا زمانی که یک کلید در حالت آماده باشد، به تعویق خواهد افتاد.
کلید ksk-بازنشسته --zone|-z منطقه
کلید ksk-بازنشسته --Keytag|-x برچسب کلید
کلید ksk-بازنشسته --cka_id|-k کاید
به OpenDNSSEC نشان دهید که یک کلید فعال در حال حاضر باید بازنشسته شود. اگر کلید
شناسه ها ارائه نمی شوند، در این صورت قدیمی ترین کلید در منطقه بازنشسته می شود.
اگر فقط یک کلید در حالت فعال باشد، این دستور با خطا خارج می شود
پیام، زیرا تکمیل هیچ کلید فعالی باقی نمی ماند.
کلید ds-seen --zone|-z منطقه --Keytag|-x برچسب کلید [--notify|-l] [--بدون بازنشستگی|-f]
کلید ds-seen --zone|-z منطقه --cka_id|-k کاید [--notify|-l] [--بدون بازنشستگی|-f]
به OpenDNSSEC نشان دهید که یک رکورد DS ارسال شده در ناحیه والد ظاهر شده است،
و در نتیجه باعث تکمیل یک rollover KSK می شود. توجه داشته باشید که این عمل نیست
در عین حال استاندارد شده است و بنابراین نمی توان آن را به روشی عمومی و خودکار حل کرد.
این دستور برای گنجاندن در هر تنظیم شخصی که ممکن است یا ممکن است طراحی شده است
خودکار نباشد
راه های مختلفی برای تعیین DS در DNS وجود دارد و گزینه ها این موارد را منعکس می کنند
جایگزین، گزینه ها. گزینه --keytag عدد صحیح کوتاهی را مشخص می کند که به عنوان a عمل می کند
دسته DNSSEC به یک کلید. گزینه --cka_id به یک کلید از طریق طول آن اشاره دارد
شناسه هگزادسیمال برای شناسایی کلید در مخزن استفاده می شود.
یک پرچم اختیاری --no-notify نیز می تواند وارد شود، که از اعمال کننده جلوگیری می کند
از این تغییر مطلع می شود. اگر از این پرچم استفاده شود، مجری باید باشد
به صورت دستی با دستور 'ods-enforcerd notify' اطلاع داده می شود یا تغییرات انجام نمی شود
تا اجرای برنامه ریزی شده بعدی مجری اجرا شود.
یک پرچم اختیاری ---no-retire نیز می تواند بدون کلید موجود ارسال شود
همزمان با فعال کردن کلید جدید به حالت بازنشستگی منتقل می شود. اگر
میخواهید این مرحله را به تأخیر بیندازید، سپس از این پرچم عبور کنید و از دستور ksk-retire استفاده کنید
در موقع لزوم.
کلید حذف کردن --cka_id|-k کاید [--no-hsm]
یک کلید با نام را از سیستم حذف کنید.
کلیدهای در حالت GENERATE یا DEAD می توانند با خیال راحت از سیستم حذف شوند
در حال استفاده نیستند.
اگر میخواهید مواد کلیدی را در HSM بگذارید، پرچم --no-hsm میتواند ارائه شود.
رتبه بندی فهرست
تاریخها و زمانهای مورد انتظار برای جابجاییهای آینده را فهرست کنید. از این می توان برای بدست آوردن استفاده کرد
ایده ای از کار آینده، مانند ارسال غیر استاندارد رکوردهای DS به
یک رجیستری
سیاست مدیریت دستورات فرعی
سیاست صادرات [--سیاست|--همه|-p|-a]
یک خط مشی را از پایگاه داده با همان فرمت فایل kasp.xml صادر کنید.
سیاست واردات
پایگاه داده را با محتویات kasp.xml به روز کنید. یکسان به "به روز رسانی kasp".
سیاست پالایش
*تجربی*
خطمشیهایی را که هیچ منطقهای مرتبط با آنها ندارند، حذف کنید. توجه داشته باشید که این
دستور فقط در محیط آزمایشگاه آزمایش شده است و بنابراین احتیاط توصیه می شود.
مخزن و پشتیبان گیری دستورات فرعی
مخزن فهرست
فهرست مخازن از پایگاه داده
پشتیبان فهرست --repository|-r نام
بک آپ هایی را که در مخزن داده شده ایجاد شده اند فهرست کنید. مخزن --
گزینه مشخص می کند که چه مخزن لیست شود.
پشتیبان آماده --repository|-r نام
یک روش پشتیبان گیری کلید دو فازی را شروع کنید. کلیدهای تولید شده تا اینجا را آماده کنید
پشتیبان گیری. کلیدهایی که به طور خودکار توسط OpenDNSSEC پس از این دستور تولید می شوند، نیستند
تضمین میشود که پشتیبانگیری میشود، و بنابراین در چه زمانی مورد توجه قرار نمیگیرد
متعهد شدن کلیدهای آماده شده برای استفاده توسط OpenDNSSEC. دستور بعدی معمولاً این است
هر دو پشتیبان مرتکب شدن یا در صورت خرابی خود کلید پشتیبان، پشتیبان
عقبگرد. اگر KASP Enforcer در حال اجرا باشد، این دنباله به طور قابل اعتماد کار می کند. اگر هست
نه، پشتیبان گیری تک فاز پشتیبان انجام شده یک بک آپ تک فازی ارائه می دهد
جایگزین.
پشتیبان مرتکب شدن --repository|-r نام
یک روش پشتیبان گیری کلید دو فازی را با موفقیت پایان دهید. پس از یک کلید پشتیبان است
موفق شد، همه کلیدهای آماده شده قبلی را برای سرویس توسط OpenDNSSEC آزاد کنید. هر
کلیدهایی که از آخرین آماده سازی صادر شده تولید شده اند به عنوان منتشر نمی شوند
مشخص نیست که آیا اینها واقعاً پشتیبانگیری شدهاند یا خیر.
پشتیبان عقبگرد --repository|-r نام
یک روش پشتیبانگیری کلید دو فازی ناموفق را با خیال راحت پایان دهید. پس از اینکه پشتیبان گیری کلید ناموفق بود،
همه کلیدهای آماده شده قبلی را به حالتی که در آن تولید شده اند برگردانید، اما
هنوز برای سرویس توسط OpenDNSSEC در دسترس نیست. پس از رفع این مشکل، جدید
تلاش برای پشتیبان گیری از کلیدها می تواند انجام شود.
پشتیبان انجام شده --repository|-r نام [--زور]
*منسوخ*
نشان دهید که یک نسخه پشتیبان از مخزن داده شده انجام شده است، همه بدون پشتیبان
اکنون کلیدها به عنوان پشتیبانگیری شده علامتگذاری میشوند. گزینه --repository چه چیزی را مشخص می کند
مخزن به لیست
توجه داشته باشید که مجری KASP ممکن است ابتکار عمل را برای تولید کلیدها پس از این به عهده بگیرد
پشتیبان گیری شروع شده است و قبل از اینکه پشتیبان گیری انجام شود. این دستور پشتیبان گیری تک فاز
از آن چشم پوشی می کند، که وقتی KASP Enforcer اجرا نمی شود، ایمن است. اگر قصد دارید
Enforcer را در حال اجرا نگه دارید، در عوض می خواهید از دو فاز استفاده کنید پشتیبان
آماده به دنبال آن پشتیبان مرتکب شدن or پشتیبان عقبگرد.
پایگاه داده پشتیبان [--خروجی|-o خروجی]
یک کپی از پایگاه داده KASP Enforcer (در صورت استفاده از sqlite) تهیه کنید. این دستور
اطمینان حاصل می کند که پایگاه داده در یک وضعیت سازگار است، ابتدا با قفل کردن. در
گزینه --output مشخص می کند که خروجی باید کجا برود. اگر مشخص نشده باشد، خروجی
به فایل معمول enforcer.db.backup می رود.
روند کنترل دستورات فرعی
شروع | توقف | اطلاع رسانی
شروع، متوقف کردن یا ارسال "SIGHUP" به فرآیند ods-enforcerd.
KEY ایالت ها
تولید می کنند
کلید به تازگی تولید شده است، اما برای استفاده آماده نیست.
انتشار
کلید در منطقه والد منتشر شده است.
READY کلید آماده استفاده است. به عنوان مثال با توجه به تنظیمات در سیاست کلید بوده است
برای مدت طولانی منتشر شده است تا به همه حل کننده ها منتشر شود.
ACTIVE کلید به طور فعال برای امضای یک یا چند منطقه استفاده می شود.
بازنشستگی کلید یا به پایان عمر برنامه ریزی شده خود رسیده است، یا چرخانده شده است
پیش از موعد با این حال، سوابق امضا شده با آن ممکن است همچنان در حافظه پنهان ذخیره شوند
هنوز در حال انتشار است
DEAD کلید برای مدت طولانی بازنشسته شده است که استفاده از آن دیگر در حافظه پنهان نمی ماند، بنابراین
از منطقه حذف شده است.
KEY انواع
کلیدها می توانند دو نوع باشند: KSK یا ZSK. این اصطلاحات با جزئیات بیشتری در توضیح داده شده است
opendnssec(1).
در رکوردهای DNS، KSK معمولاً با داشتن SEP (نقطه ورود امن) قابل شناسایی است.
مجموعه پرچم اما لطفاً توجه داشته باشید که به طور رسمی این یک اشاره صرف است.
INTERVAL FORMAT
هنگام تعیین فاصله زمانی برای اجرای یک تولید کلید، از استاندارد ISO 8601 استفاده می شود، به عنوان مثال
P2Y6M به مدت 2 سال و 6 ماه؛ یا PT12H30M به مدت 12 ساعت و 30 دقیقه. توجه داشته باشید که یک سال
365 روز و یک ماه 31 روز در نظر گرفته شده است.
TIME فرمها
هنگام تعیین زمان تولید/بازنشستگی برای کلیدی که وارد میشود، فرمتهای زیر را مشخص کنید
درک می شوند:
YYYYMMDD[HH[MM[SS]]]
(تمام عددی)
D-MMM-YYYY[:| ]هه[:MM[:SS]]
DD-MMM-YYYY[:| ]هه[:MM[:SS]]
YYYY-MMM-DD[:| ]هه[:MM[:SS]]
(ماه حروف الفبا)
D-MM-YYYY[:| ]هه[:MM[:SS]]
DD-MM-YYYY[:| ]هه[:MM[:SS]]
YYYY-MM-DD[:| ]هه[:MM[:SS]]
(ماه عددی)
با استفاده از خدمات onworks.net از ods-ksmutil به صورت آنلاین استفاده کنید
