Konfiguration mit Unbound >1.4

Dieser "Howto"-Artikel schreibt die Einrichtung eines validierenden Resolvers mit Unbound Version 1.4.

Unbound version 1.4 ist in den meisten Linux-Distributionen über den Paketmanager verfügbar:

root-key anchor

Unbound sucht den root-key in /var/lib/unbound/root.key, oder wenn entsprechend in /etc/unbound/unbound.conf.d/root-auto-trust-anchor-file.conf angegeben an anderer Stelle.

Die Installation von unbound liefert den root-key nicht mit. Man kann ihn manuell downloaden, wie in der Unbound Documentation beschrieben. Es empfiehlt sich allerdings das Paket unbound-anchor zu installieren, das den root-key mitbringt und bei einem root-key-rollover uptodate hält. Dies ist aber beispielsweise im Falle von Debian sowieso schon als abhängiges Paket definiert und wird mit installiert.

/etc/unbound/unbound.conf.d/root-auto-trust-anchor-file.conf verweist dann (default) auf den herunter geladenen root-anchor:

server:

    # The following line will configure unbound to perform cryptographic

    # DNSSEC validation using the root trust anchor.

    auto-trust-anchor-file: "/var/lib/unbound/root.key"

Der benutzte Nameserver in /etc/resolv.conf sollte auf 127.0.0.1 verweisen, oder muss mit @127.0.0.1 bei dig angegeben werden.

/etc/resolv.conf

nameserver 127.0.0.1

search <yourdomain>

Unbound ist schon in der default-Konfiguration validierend. Das kann mit dig überprüft werden (unter Umständen muss das mit dem Paket bind-utils installiert werden):

dig com. SOA +dnssec @127.0.0.1

Die Antwort enthält das "ad"-Flag.

; <<>> DiG 9.11.0-P1 <<>> com. SOA +dnssec

;; global options: +cmd

;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38330

;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 14, ADDITIONAL: 1

Konfigurationsoptionen

Detaillierte Informationen über alle Optionen der unbound.conf-Datei liefert die Unbound Documentation.