Вопрос о DNSSEC и SSHFP, а также связанных понятиях, касающихся стуб-резолверов. Можете объяснить, как это работает и какова их роль в обеспечении безопасности?

Я прохожу курс “от 0 до Linux админа” на yodo.im и столкнулся с некоторыми трудностями в понимании работы DNSSEC и записи SSHFP, а также связанными с этим вопросами терминологии вокруг stub resolvers.

Я активировал DNSSEC на своём домене и настроил записи SSHFP для проверки отпечатков ключей хоста. Прежде чем всё заработало, нужно было установить верифицирующий локальный stub resolver - systemd-resolved.

До установки systemd-resolved моя система была настроена использовать резолвер из локальной сети. Теперь система обращается к systemd-resolved, который, в свою очередь, контактирует с локальным резолвером в сети.

Я предполагаю, что до установки systemd-resolved у меня не был установлен stub resolver. Это правильно? И существует ли какая-то системная библиотека, которая занимается DNS-запросами? Можно ли её считать stub resolver, и является ли systemd-resolved верифицирующим stub resolver?

Буду благодарен за любые пояснения.

Эй, народ! Давайте поговорим о DNSSEC и SSHFP, а также о том, как все это связано со стуб-резолверами. Я, когда пытался разобраться в этой теме, то наткнулся на кучу информации, но, честно говоря, не все сразу уловил.

Что такое DNSSEC и SSHFP?

Итак, DNSSEC — это как страж в мире DNS, обеспечивающий целостность и защиту данных. Он помогает предотвратить атаки, вроде подмены DNS-записей. По сути, он добавляет цифровую подпись к DNS-ответам, чтобы вы могли быть уверены, что информация не была подделана.

А вот SSHFP — это записи, которые позволяют встраивать публичные ключи SSH в DNS. Это значит, что вы можете проверить, что действительно подключаетесь к правильному серверу, а не к какому-то мошеннику, который пытается вас обмануть. Понимаете? Это такая дополнительная защита для SSH-соединений.

Стуб-резолверы и их роль

Теперь стуб-резолверы. Да, это не что-то типа собачки, которая вон там сидит, а довольно важный элемент в цепи DNS. Это такие маленькие программки, которые работают на ваших устройствах и отправляют запросы на DNS-серверы. Их работа — запрашивать DNS-записи, и если они подключены к вашему провайдеру, то Ryzen (или любой другой сервер) возвращает вам ответ.

Но проблема в том, что многие люди не понимают, как это все работает, и получается такая неразбериха. Например, когда я сам пытался настроить все это дело, то чуть не сломал голову. Я пытался внедрить DNSSEC и использовать SSHFP, но не мог уговорить мой стуб-резолвер правильно обрабатывать эти записи.

Что не получилось?

1. Настройка DNSSEC: Я пытался создать ключи и подписи, но мой резолвер не воспринимал их. Все время получал ошибки, что данные некорректны. Оказалось, что не все резолверы поддерживают DNSSEC на 100%. Я, как дебил, чуть не сломал комп, пока мучился с этим.

2. SSHFP записи: Тут вообще мрак. Я нормально добавил записи в DNS, но когда пытался подключиться по SSH, у меня выдавало какую-то фигню. Искал, как тестить эти записи и понял, что не у всех провайдеров поддерживаются SSHFP.

В общем, не рассчитывайте, что все будет работать без танцев с бубном. Это реально требует времени и терпения.

Полезные курсы

Но не всё так плохо! Я нашел классные курсы на Yodo, которые реально помогли мне разобраться с DNS и безопасностью. Они просто супер! Сначала казалось, что ничего не пойму, но постепенно всё стало более-менее ясным.

Если вам нужно глубже понять эту тему, обязательно загляните на этот сайт. Подобрано много полезной информации.

Ну, вот так и разобрался в этой запутанной теме. Если у вас есть вопросы или вы тоже боролись с этим, пишите!