Este é o comando ods-ksmutil que pode ser executado no provedor de hospedagem gratuita OnWorks usando uma de nossas várias estações de trabalho online gratuitas, como Ubuntu Online, Fedora Online, emulador online do Windows ou emulador online do MAC OS
PROGRAMA:
NOME
ods-ksmutil - Zona OpenDNSSEC e gerenciamento de chaves
SINOPSE
ods-ksmutil instalação
ods-ksmutil [ começo | Pare | notificar ]
ods-ksmutil atualizar [ kasp | lista de zonas | conf | todos os ]
ods-ksmutil zona [ adicionar | delete | Lista ] ...
ods-ksmutil lista de zonas [ importar | exportar ]
ods-ksmutil chave [ gerar | importar | exportar | Lista | purga | rollover | ksk-aposentar |
ds-visto | delete ] ...
ods-ksmutil rollover Lista ...
ods-ksmutil Privacidade [ exportar | importar | purga ] ...
ods-ksmutil repositório Lista ...
ods-ksmutil backup [ Lista | preparar | commit | rollback | feito ]
ods-ksmutil banco de dados backup ...
DESCRIÇÃO
ods-ksmutil gerencia a operação do KASP Enforcer, que faz parte do OpenDNSSEC
que aciona a geração de chaves e operações de assinatura em domínios com base em políticas com
requisitos de tempo e segurança definidos pelo usuário. Pois tudo além dessa gestão
a utilidade é geralmente automática, ods-ksmutil é a principal ferramenta para gerenciar OpenDNSSEC.
Entre as funções de ods-ksmutil são gerenciamento de chaves, atualizações para a lista de zonas e
rolando chaves manualmente para se recuperar de situações excepcionais, como perda de chave.
Para começar, uma primeira invocação de ods-ksmutil instalação é preciso; veja CONFIGURAÇÃO E ATUALIZAÇÃO
COMANDOS abaixo para obter detalhes. Depois que isso for feito, o resto da funcionalidade do
ods-ksmutil torna-se disponível.
As seções a seguir discutem os subcomandos em grupos lógicos, detalhando quaisquer opções
que eles apóiam.
GENÉRICO OPÇÕES
-c arquivo de configuração, --config arquivo de configuração
Altere o arquivo conf.xml que é usado do padrão.
ajudar Isso pode ser usado como um subcomando para ods-ksmutil ou pode ser usado após uma parcial
subcomando. Em resposta, ods-ksmutil dará uma sinopse de como continuar o
comando.
-V, --versão
Número da versão de exibição
CONFIGURAÇÃO E ATUALIZAÇÃO SUBCOMANDOS
instalação Importe conf.xml, kasp.xml e zonelist.xml para um banco de dados. Isso exclui qualquer
informações de gerenciamento atuais do banco de dados com gerenciamento OpenDNSSEC
informações, incluindo quaisquer referências a chaves. Atualizações para uma configuração existente devem
portanto, normalmente não executa este subcomando, mas atualizar ao invés.
atualizar kasp
atualizar lista de zonas
atualizar conf
atualizar todos os
Atualize o banco de dados com o conteúdo do respectivo arquivo de configuração, ou todos
esses arquivos. O resultado é comparável ao instalação subcomando, exceto que
as informações de gerenciamento sobre o OpenDNSSEC não são excluídas. (Observe também que a atualização do kasp
não remove nenhuma política do banco de dados, a limpeza de política pode ser usada para remover
políticas não utilizadas).
ZONA GESTÃO SUBCOMANDOS
zona adicionar --zone | -z zona [--policy | -p nome] [--in-type | -j tipo] [--out-type | -q tipo]
[--input | -i entrada] [--output | -o saída] [--não-xml]
Adicione uma zona a zonelist.xml e ao banco de dados. Isso é equivalente a manualmente
editar zonelist.xml e, em seguida, executar o atualizar lista de zonas subcomando. A zona
a opção nomeia a zona a ser adicionada; a opção --policy nomeia a política a ser usada em seu lugar
de inadimplência; o --in-type e --out-type especificam o tipo de entrada e saída
adaptadores (deve ser DNS ou Arquivo, o padrão é Arquivo); a opção --input especifica um
localização não padrão para a zona não assinada (o padrão é
/ var / lib / opendnssec / unsigned / ZONE) ou o arquivo de entrada DNS (o padrão é
/etc/opendnssec/addns.xml); a opção --output especifica um local não padrão
para a zona assinada (o padrão é / var / lib / opendnssec / assinado / ZONE) ou a saída DNS
(o padrão é /etc/opendnssec/addns.xml). O sinalizador --no-xml interrompe o
arquivo zonelist.xml sendo atualizado. Isso é adequado para um modo em lote onde você
irá adicionar várias zonas e, em seguida, apenas escrever zonelist uma vez no final.
zona delete --zone | -z nome [--não-xml]
zona delete --todos | -a
Exclua uma zona (ou todas as zonas, respectivamente) de zonelist.xml e do
base de dados. Isso é equivalente a editar manualmente zonelist.xml e, em seguida, executar o
atualizar lista de zonas subcomando. O sinalizador --no-xml interrompe o arquivo zonelist.xml de
sendo atualizado. Isso é adequado para um modo em lote onde você excluirá vários
zonas e, em seguida, basta escrever zonelist uma vez no final.
zona Lista
Liste as zonas do zonelist.xml. TODO: Não é do banco de dados?
lista de zonas exportar
Exporte a lista de zonas do banco de dados no mesmo formato que zonelist.xml
lista de zonas importar
Sincronize o banco de dados com o conteúdo de zonelist.xml; idêntico a "atualizar
zonelist "
KEY GESTÃO SUBCOMANDOS
chave gerar --policy | -p nome --interval | -n intervalo [--zonetotal | -Z zonatotal]
Crie chaves suficientes para a política nomeada para durar o período de tempo fornecido por
intervalo. Consulte INTERVAL FORMAT para obter o formato das especificações de tempo.
Se configurado para, o OpenDNSSEC criará chaves automaticamente quando for necessário.
Este comando pode ser usado para pré-gerar chaves (talvez para a vida útil esperada de um
HSM) para ajudar com políticas de backup. É também um método conveniente de pré-geração
um conjunto de chaves para permitir que um site de recuperação de desastres tenha uma cópia das chaves sem
necessário para sincronizar as chaves geradas em tempo real.
Por padrão, o comando gera chaves para todas as zonas encontradas no
política. Se o parâmetro opcional --zonetotal for especificado, as chaves serão
gerado para esse número total de zonas, independentemente de quantas são realmente
atualmente na política.
chave importar --algorithm | -g Algname --bits | -b pedaços --repository | -r repo --cka_id | -k ckaid
--zone | -z zona --keytype | -t tipo --keystate | -e estado --time | -w tempo [--check-repository | -C
verificarrepositório] [--retire | -y tempo]
Adicione uma chave que foi criada fora do código OpenDNSSEC no banco de dados. No
fazendo isso, os detalhes adicionais envolvidos no gerenciamento de chaves devem ser especificados em
opções.
A opção --algorithm nomeia o algoritmo usado com esta chave; o --bits especifica
a força desse algoritmo como um tamanho de chave em bits.
A opção --repository nomeia o repositório no qual a chave deve ser armazenada; a
A opção --cka_id especifica o nome que será usado para identificar esta chave naquele
repositório; a opção --zone especifica a zona para a qual esta chave deve ser usada;
a opção --keytype especifica se esta chave deve servir como KSK ou ZSK.
Consulte os TIPOS-CHAVE abaixo para obter uma introdução a esses termos.
A opção --keystate especifica o estado em que a chave estará após a importação,
e deve ser uma das opções definidas na seção ESTADOS-CHAVE abaixo. A Hora
opção especifica a hora em que esta chave foi criada; a opção --check-repository
especificou que a importação da chave deve falhar se nenhuma chave correspondente com o especificado
cka_id existe no Repositório. a opção --retire especifica o tempo que este
a chave deve ser retirada. Estas duas últimas opções assumem os formatos dados no TIME
Seção FORMATOS abaixo.
chave exportar --zone | -z nome [--keystate | -e estado] [--keytype | -t tipo] [--ds]
chave exportar --tudo [--keystate | -e estado] [--keytype | -t tipo] [--ds]
Exporte as chaves para uma zona específica, ou para todas as zonas respectivamente, do
base de dados. A opção --ds pode ser usada para recuperar registros DS para upload para um
registro em vez da chave completa; a opção --keystate pode ser usada para limitar o
saída para chaves em um determinado estado; a opção --keytype pode ser usada para limitar o
saída para chaves de um determinado tipo. Veja o KEY TIPOS e KEY ESTADOS seções abaixo
for a especificação of possível principais tipos e estados.
chave Lista [--zona nome] [--verboso] [--keystate | --all | -e estado| -a] [--Tipo de chave tipo| -t tipo]
Liste informações sobre as chaves em todas as zonas ou em uma zona específica. Por chaves padrão
no estado GENERATE e DEAD não são exibidos.
A opção --verbose é usada para listar informações adicionais sobre cada chave.
A opção --keystate pode ser usada para limitar a saída às chaves em um determinado estado. Se
a opção --all é usada então as chaves em todos os estados (incluindo GENERATE e DEAD) são
exibido. A opção --keytype pode ser usada para limitar a saída às chaves de um determinado
tipo. Veja o KEY TIPOS e KEY ESTADOS seções abaixo for a especificação of
possível principais tipos e estados.
chave purga --zone | -z nome
chave purga --policy | -p nome
Remova quaisquer chaves no estado Dead do repositório e do banco de dados do
KASP Enforcer. As opções --zone e --policy são usadas para limitar esta operação a
uma única zona ou política nomeada, respectivamente.
chave rollover --zone | -z nome --Tipo de chave tipo| -t tipo
chave rollover --zone | -z nome --todos | -a
chave rollover --policy | -p nome --Tipo de chave tipo| -t tipo
chave rollover --policy | -p nome --todos | -a
Passe o mouse sobre as chaves ativas na zona ou política nomeada, respectivamente. Este comando é
usado para iniciar rollovers manuais; se não for fornecido, OpenDNSSEC irá automaticamente
rollover chaves quando necessário. (Ou, no caso de KSKs, ele iniciará o
processo de rollover, para terminar o rollover KSK, veja ksk-roll abaixo.)
A opção --keytype especifica o tipo de chave a ser usada. Alternativamente, o --all
pode ser usada a opção que irá rolar os dois tipos de chaves. Depois de correr, o KASP
O Enforcer será ativado para que o signatário possa receber as novas informações.
Se a política de ativação da zona especifica que as chaves são compartilhadas, todas as zonas ativadas
essa política será implementada. Se apropriado, é feito um backup do arquivo sqlite DB.
Se não houver chaves prontas para assumir o controle da chave atual, o rollover irá
não ocorrerá imediatamente, mas será adiado até que seja uma chave no estado pronto.
chave ksk-aposentar --zone | -z zona
chave ksk-aposentar --keytag | -x chaveiro
chave ksk-aposentar --cka_id | -k ckaid
Indique ao OpenDNSSEC que uma chave atualmente ativa deve ser retirada. Se chave
não forem fornecidos identificadores, a chave mais antiga da zona será retirada.
Se apenas uma tecla estiver no estado ativo, este comando sairá com um erro
mensagem, pois a conclusão não deixaria nenhuma chave ativa.
chave ds-visto --zone | -z zona --keytag | -x chaveiro [--não notificar | -l] [--não-aposentar | -f]
chave ds-visto --zone | -z zona --cka_id | -k ckaid [--não notificar | -l] [--não-aposentar | -f]
Indique ao OpenDNSSEC que um registro DS enviado apareceu na zona pai,
e, assim, acionar a conclusão de um rollover KSK. Observe que esta ação não é
ainda padronizado e, portanto, não pode ser resolvido de forma genérica e automática.
Este comando foi projetado para inclusão em qualquer configuração personalizada que pode ou pode
não ser automatizado.
Existem várias maneiras de especificar qual DS está no DNS, e as opções refletem essas
alternativas. A opção --keytag especifica o inteiro curto que serve como um
Identificador DNSSEC para uma chave; a opção --cka_id se refere a uma chave por meio de seu comprimento
identificador hexadecimal usado para identificar a chave no repositório.
Um sinalizador opcional --no-notification também pode ser passado, o que evita o enforcer
ser notificado desta mudança. Se este sinalizador for usado, o aplicador deve ser
notificado manualmente com o comando 'ods-enforcerd notificar' ou as alterações não
entram em vigor até a próxima execução programada do executor.
Um sinalizador opcional --no-retire também pode ser passado, sem isso a chave existente
é movido para o estado retirado ao mesmo tempo em que torna a nova chave ativa. Se
você deseja atrasar esta etapa, então passe esta sinalização e use o comando ksk-retire
quando necessário.
chave delete --cka_id | -k ckaid [--não-hsm]
Remova uma chave nomeada do sistema.
As chaves no estado GENERATE ou DEAD podem ser removidas com segurança do sistema, pois
não estão em uso.
O sinalizador --no-hsm pode ser fornecido se você quiser deixar o material da chave no HSM.
rollover Lista
Liste as datas e horas esperadas dos próximos rollovers. Isso pode ser usado para obter
uma ideia de trabalho futuro, como o envio não padronizado de registros do DS para
um registro.
POLÍTICA ADMINISTRAÇÃO SUBCOMANDOS
Privacidade exportar [--policy | --all | -p | -a]
Exporte uma política do banco de dados no mesmo formato do arquivo kasp.xml.
Privacidade importar
Atualize o banco de dados com o conteúdo de kasp.xml; idêntico ao "update kasp".
Privacidade purga
* Experimental *
Remova quaisquer políticas que não tenham zonas associadas a elas. Observe que este
comando só foi testado em um ambiente de laboratório, portanto, recomenda-se cautela.
REPOSITÓRIO E BACKUP SUBCOMANDOS
repositório Lista
Liste os repositórios do banco de dados.
backup Lista --repository | -r nome
Liste os backups que foram feitos no repositório fornecido. O --repositório
opção especifica qual repositório listar.
backup preparar --repository | -r nome
Inicie um procedimento de backup de chave de duas fases. Prepare as chaves geradas até aqui para
cópia de segurança. Quaisquer chaves geradas automaticamente pelo OpenDNSSEC após este comando não são
garantia de backup e, portanto, não será levado em consideração quando
comprometendo as chaves preparadas para uso pelo OpenDNSSEC. O próximo comando é geralmente
ou backup commit ou, em caso de falha do próprio backup da chave, backup
rollback. Essa sequência funcionará de maneira confiável se o KASP Enforcer estiver em execução. Se for
não, o backup monofásico de backup feito fornece um backup de uma fase
alternativas.
backup commit --repository | -r nome
Encerrar com êxito um procedimento de backup de chave de duas fases. Depois que um backup de chave tiver
bem-sucedido, libere todas as chaves previamente preparadas para serviço pelo OpenDNSSEC. Algum
chaves que foram geradas desde a última preparação emitida não serão liberadas como
é incerto se eles realmente têm backup.
backup rollback --repository | -r nome
Encerre com segurança um procedimento de backup de chave de duas fases com falha. Depois que um backup de chave falhou,
reverter todas as chaves previamente preparadas para o estado em que foram geradas, mas
ainda não disponível para serviço por OpenDNSSEC. Depois de corrigir esse problema, um novo
pode ser feita uma tentativa de backup das chaves.
backup feito --repository | -r nome [--força]
*DESCONTINUADA*
Indica que um backup do repositório fornecido foi feito, todos sem backup
as chaves agora serão marcadas como backup. A opção --repository especifica o que
repositório para listar.
Observe que o KASP Enforcer pode tomar a iniciativa de gerar chaves após o
o backup foi iniciado e antes de ser concluído. Este comando de backup monofásico
renuncia a isso, o que é seguro quando o KASP Enforcer não está em execução. Se você pretende
manter o Enforcer em execução, em vez disso, você desejará usar o sistema de duas fases backup
preparar seguido por qualquer um backup commit or backup rollback.
banco de dados backup [--output | -o saída]
Faça uma cópia do banco de dados do KASP Enforcer (se estiver usando sqlite). Este comando
garante que o banco de dados esteja em um estado consistente, bloqueando primeiro. o
A opção --output especifica onde a saída deve ir; se não for especificado, a saída
vai para o arquivo usual enforcer.db.backup.
PROCEDIMENTO: CONTROLE SUBCOMANDOS
iniciar | parar | notificar
Inicie, pare ou envie "SIGHUP" para o processo ods-enforcerd.
KEY ESTADOS
GERAR
A chave acabou de ser gerada, mas não está pronta para uso.
PUBLICAR
A chave foi publicada na zona pai.
PRONTO A chave está pronta para uso. Por exemplo, de acordo com as configurações da política, a chave foi
publicado por tempo suficiente para ser propagado para todos os resolvedores.
ACTIVE A chave está sendo usada ativamente para assinar uma ou mais zonas.
RETIRE A chave atingiu o fim de sua vida útil programada ou foi lançada
prematuramente. No entanto, os registros assinados com ele ainda podem ser armazenados em cache, mas a chave é
ainda está sendo publicado.
MORTO A chave foi desativada por tempo suficiente para que seu uso não seja mais armazenado em cache, então
foi removido da zona.
KEY TIPOS
As chaves podem ser de dois tipos: KSK ou ZSK. Esses termos são explicados com mais detalhes em
opendnssec(1).
Em registros DNS, o KSK geralmente pode ser reconhecido por ter seu SEP (ponto de entrada seguro)
conjunto de bandeiras. Mas observe que oficialmente isso é uma mera dica.
INTERVALO FORMATO
Ao especificar um intervalo para uma execução de geração de chave, o padrão ISO 8601 é usado, por exemplo
P2Y6M por 2 anos e 6 meses; ou PT12H30M por 12 horas e 30 minutos. Observe que um ano
presume-se que seja 365 dias e um mês seja 31 dias.
HORÁRIO FORMATOS
Ao especificar um tempo de geração / retirada para uma chave que está sendo importada, os seguintes formatos
são compreendidos:
AAAAMMDD [HH [MM [SS]]]
(todos numéricos)
D-MMM-AAAA [: | ] HH [: MM [: SS]]
DD-MMM-AAAA [: | ] HH [: MM [: SS]]
AAAA-MMM-DD [: | ] HH [: MM [: SS]]
(mês alfabético)
D-MM-AAAA [: | ] HH [: MM [: SS]]
DD-MM-AAAA [: | ] HH [: MM [: SS]]
AAAA-MM-DD [: | ] HH [: MM [: SS]]
(mês numérico)
Use ods-ksmutil online usando serviços onworks.net
