BIND9, DNSSEC und NTP: Wie löst man das "Henne-Ei-Problem" am geschicktesten, ohne DNSSEC abzuschalten?

...komplette Frage anzeigen

4 Antworten

Ich sehe prinzipiell keinen Grund, wieso man ntp Server nicht mit ip adressieren darf.

Heißt ja nicht, dass die ip in der /etc/hosts stehen muss - kannst auch einfach in der ntp-Config Datei eben die ip angeben.

Gibt auch Server wie den hier:

http://support.ntp.org/bin/view/Servers/PublicTimeServer000217

bei denen steht "Use DNS = False". Von daher würde ich schon davon ausgehen, dass der statische ip hat :).

Alles andere; z.B. DNSSEC zeitversetzt zum Boot einschalten etc. ist ja auch Müll.

Gruß

Tuxgamer

Antwort bewerten Vielen Dank für Deine Bewertung
Kommentar von dan030
08.02.2017, 19:36

Naja, "DNSSEC zeitversetzt zum Boot einschalten" wäre halt eh unpraktikabel, weil mit einem Zeitsprung auch cron und Konsorten ggf. durcheinander kommen würden. Klar man könnte at/atrun einsetzen, Configdateien umkopieren und bind9 restarten. Aber da fängt es dann ernsthaft an, pervers zu werden.

Die Notlösung fest per IP verdrahteter Adressen von NTP-Servern bleibt natürlich. Mir schmeckt sie halt nur einfach nicht. Vor allem, wenn es ggf. mal um Systeme geht, die mehrfach/vielfach im Feld installiert werden sollen. Wenn dann irgendwo in der Welt da draußen mal wieder seine IP wechselt, muss man irgendwas flächig updaten...

0

Es gibt eine recht simple und einfach Lösung: Es gibt RTC (Real time clock) Module die man einfach auf den Pi steckt und schon hat er eine interne Uhr. Da das ein zusatz modul ist, kannst du dir sogar aussuchen wie genau diese Uhr sein soll. Alles eine Frage des Preises :-D. Beispiel wäre z.B. hier zu finden https://raspberry.tips/raspberrypi-tutorials/rtc-ds1307-uhrzeit-raspberry-pi/

Das ganze kann man natürlich noch weiter treiben. Z.B. Mit einem DCF Empfänger. Hier wirds dann aber natürlich preistechnisch schon wieder etwas übler. Angst vor ein wenig löten sollte man bei keiner der Lösungen haben. USB Zeitmodule existieren zwar (meist DCF Empfänger) sind aber sehr sehr teuer (>100€).

Antwort bewerten Vielen Dank für Deine Bewertung
Kommentar von dan030
09.02.2017, 23:38

Danke, das ist auch eine Idee, werde ich mir mal ansehen.

Allerdings dann primär für den Interneinsatz interessant und nicht für irgendwas, was man im Feld verstreut, weil dafür einfach "zu teuer" unter Kalkulationsgesichtspunkten.

Für den Internaufbau hier wäre das aber echt eine Option. Und da eine kleine Schaltung zusammenzubraten (wahrscheinlich läuft es ja sowieso nur auf "ein paar Kabel anlöten" hinaus) wäre jetzt nicht so das Problem. Ich bin jetzt zwar nicht so der Profi-Elektronikbastler, aber für Kleinaufbauten hat's bisher immer gereicht...

0

Adressiere die NTP-Server mit IP-Adressen in der /etc/ntpd.conf ein. Dort kannst Du mehrere Server eintragen, sodass Du bei Ausfall eines der Server auch Fallback-Möglichkeiten hast.

Alternativ trage die NTP-Adresse in die /etc/hosts ein.

Einziger Nachteil: Häufig gibt man in der NTP-Konfiguration Pools an wie z.B. de.ntp.org. So findet ein Loadbalancing statt (und man hat reichlich Redundanz). Darauf muss man dann halt verzichten.

Antwort bewerten Vielen Dank für Deine Bewertung
Kommentar von dan030
09.02.2017, 12:50

Ja genau. Eigentlich wird überall mit Pools gearbeitet. Und neben dem Loadbalancing ist bei so einem NTP-Server-Setup von außen halt auch intransparent, ob man einzelne Adressen dieses Pools überhaupt als "normalerweise ständig verfügbar" betrachten darf oder nicht.

Danke trotzdem fürs Feedback.

0

Dass BIND9 einen NTP für DNS braucht wußte ich so auch nicht...

Ich verwende für meinen Pi sowieso den interenen NTP-Server der FRITZ!Box, diesen kannst du auf der Oberfläche einschalten, wobei der bei den neueren Modellen auch standardmäßig aktiv ist, besonders wenn du viele Geräte im Netz hast, welche NTP verwenden lohnt sich das schon. Natürlich kann auch die FRITZ!Box keine Zeit liefern, solange sie keine eigene NTP-Abfrage gemacht hat, allgemein sollte dein Hauptrouter auch auch nicht oft ausfallen und ohne Internetzugang ist ein funktionierendes DNS auch nicht wirklich hilfreich, außer vielleicht für interne Kommunikation...

Eine Alternative zu BIND und dem ISC-DHCP-Server ist weiterhin dnsmasq, was meiner Meinung nach auch recht gut arbeiten kann.

Antwort bewerten Vielen Dank für Deine Bewertung
Kommentar von dan030
08.02.2017, 19:31

Der Tipp mit dnsmasq hilft leider nicht weiter, weil es sich um ein konzeptionelles und nicht um ein implementationsspezifisches Problem handelt. Danke trotzdem für Gedanken in diese Richtung.

Ich möchte übrigens absichtlich nicht auf weitere NTP-Server vor Ort angewiesen sein, sondern ziehe mir die Infos lieber von remote. Das hat auch was damit zu tun, dass ich hier im LAN ein regelmäßiges Wechselspiel an Komponenten habe, und da entsprechend möglichst wenig Querabhängigkeiten haben möchte.

0
Kommentar von dan030
08.02.2017, 19:38

Nachtrag noch zum ersten Satz:

Ja, BIND mit aktiviertem DNSSEC (also default ab BIND 9.5) kann Signaturen nur prüfen, wenn die Zeit zumindest näherungsweise stimmt. Das hat etwas mit der Konzeption bzw. dem Sicherheitsprinzip von DNSSEC zu tun. Es handelt sich also nicht um einen Implementierungsfehler (den ich mir als C/C++-Entwickler schon vorgeknöpft hätte :-), sondern wirklich um eine designmäßige Schwachstelle. Zumindest in eben dieser Konstellation, die vermutlich gar nicht mal so selten auftauchen dürfte.

0

Was möchtest Du wissen?