maketestzonep - 云端在线

程序：

您的姓名

generaterecords - 生成可用于 DNSSEC 的测试 dnssec 区域

概要

生成记录-v -d mytestzone.example.com

商品描述

generaterecords 脚本生成一个区域文件，给定一个域名，然后
签名和修改以特定方式使部分数据无效。 每个生成
记录根据安全数据的修改方式适当命名（gooda 记录将
包含具有有效 DNSSEC 数据的 A 记录，但 badseca 记录将包含 A 记录
其中签名已被修改以使其无效）。

然后可以提供此过程的结果并测试安全验证器、应用程序、
和其他软件可以扔给它看它们是否正确失败或成功
正在部署 dns 安全策略。

文件生成后，考虑运行 甜甜圈 在他们身上看看他们中的数据如何
被篡改无效。

前提条件

来自 dnssec-tools 项目的 zonesigner 绑定软件 9.3.1 或更高版本

抵达 已开始

要开始创建新区域，您需要告诉 zonesigner 为
所有的新区 测试区 创造。 因此，第一次运行 测试区
应该看起来像：

第一次：
maketestzone -k [其他所需选项]

之后，可以在测试服务器中加载和提供生成的区域文件。

每 30 天一次（默认通过 zonesigner）脚本将需要重新运行到
重新创建记录并重新签署数据，以便签名日期戳保持有效（或在
某些情况无效）。

每 30 天：
maketestzone [其他所需的选项]

配置

以下是被接受的选项 测试区 工具。

输出 文件 命名：
-o 字符串
--输出文件前缀=字符串
用于区域文件的输出前缀（默认 = db。）

-O 字符串
--输出后缀签名文件=字符串
要给 zonesigner 的输出后缀（默认 = .zs）

-M 字符串
--输出修改文件=字符串
修改后的区域文件的输出后缀（默认 = .modified）

-D
--run-甜甜圈
对结果运行甜甜圈

--甜甜圈输出后缀=字符串
用于甜甜圈输出的文件后缀（默认 = .donuts）

输出 区 相关信息：
-d 字符串
--域=字符串
生成记录的域名

--ns=字符串
--name-servers=字符串
-n 字符串
逗号分隔的名称=addr 名称-服务器记录

--a-addr=字符串
--a-记录地址=字符串
要在数据中使用的记录 (IPv4) 地址

--aaaa-addr=字符串
--a-记录地址=字符串
要在数据中使用的 AAAA 记录 (IPv6) 地址

输出 时间 类型 选择：
-p 字符串
--记录前缀=字符串
要使用的记录前缀的逗号分隔列表

-P 字符串
--ns-前缀=字符串
要使用的 NS 记录前缀的逗号分隔列表

-c
--no-cname-记录
不要创建 CNAME 记录

-s
--no-ns-记录
不要创建子区域记录

任务 选择：
-g
--不要生成区域
不生成区域； 使用现有的并对其进行签名/修改

-z
--不要运行zonesigner
不要运行 zonesigner 来签署记录

-Z
--不要破坏
不要销毁记录并让它们正确签名

--bind-config=字符串
生成绑定配置文件片段以加载数据库集

--html-out=字符串
生成包含记录名称列表的 HTML 页面

--apache-out=字符串
生成一个 Apache 配置片段，用于为每个区域记录配置 apache

--sh-test-out=字符串
生成用于运行 dig 命令的测试脚本

-v
--详细
详细输出

区域签名者 配置：
-a 字符串
--zonesigner-arguments=字符串
传递给 zonesigner 的参数

-k
--生成密钥
让 zonesigner 生成所需的密钥

捆绑 配置 可选项
--bind-db-dir=字符串
将放置绑定 DB 文件的基本目录

HTML 输出 配置
--html-out-添加链接
使每个 html 记录名称成为指向该地址的 http 链接

--html-out-add-db-links
添加指向每个生成的 DB 文件的链接。

--html-out-add-donuts-links
添加指向每个生成的甜甜圈错误列表文件的链接。

SH 测试 脚本 配置 可选项
--sh-test-resolver=字符串
强制解析器地址

帮助 可选项
-h 显示帮助摘要（首选短标志）

- 帮帮我
显示帮助摘要（首选长标志）

--帮助完整
显示所有帮助选项（简短的和长期的）

- 版
显示脚本版本号。

ADDING 新品 OUTPUT

以下部分讨论如何扩展 测试区 具有新输出的工具
修改。

ADDING 传说 相关信息
对于图例 HTML 输出，%LegendInformation 哈希包含键名和描述
对于每种修改类型。

ADDING 新品 分区 差异性
波长 XNUMXμm 的 %zonesigner_domain_opts hash 列出了 zonesigner 如何之间的附加参数
调用各种子域。 因此，您可以创建具有不同
zonesigner 选项来测试父子之间的其他操作参数。 为了
例：

'rollzsk-ns。' . $opts{'d'} => '-rollzsk',

当区域被签名时，强制 rollzsk-ns 测试子区域滚动它的 zsk。

ADDING 新品 RECORD MODIFICATIONS
Maketestzone 处于早期开发阶段，但已经开始了
可扩展的系统允许您根据 regexp => 子程序随意修改记录
钩子。

要添加新的修改，请在“p”和可选的“P”默认标志中添加一个新关键字
（或在运行时添加它），然后将一个新函数添加到定义的回调列表中
基于您的新关键字的 %destroyFunctions 哈希。 当文件得到
解析并命中与您的表达式匹配的记录，您的函数将被调用。
可以通过传递数组引用来将参数添加到函数中，其中第一个
参数是要调用的子程序，其余部分是附加参数。
输出行应该打印到 $fh 文件句柄。

这是删除下一条记录的 RRSIG 签名的示例函数：

子删除签名{
# 前两个参数总是被传递； 另一个在
# 子程序注册的数组引用。
我的 ($name, $type, $expr) = @_;

Verbose(" 删除 $_[0] 的签名");

# 打印当前行
打印 $fh $_;

我的 $inrec = 0;
而 ( ) {
# 新的名字记录意味着我们已经完成了。
最后如果 /^\w/;

# 我们在一个多行的 rrsig 记录中
$inrec = 1 如果 (/$expr\s+$type/);

# 如果我们不在 rrsig 记录中，则打印该行
打印 $fh $_ if (!$inrec);

# 完成 rrsig 记录的最后一行后，标记此位置
$inrec = 0 如果 (/\)/);
}
}

然后在 %destroyFunctions 中注册。 下面是一个注册的例子
删除 DS 记录上的签名的函数：

'^(nosig[-\w]+).*IN\s+NS\s+' => [\&delete_signature, 'DS', 'RRSIG'],

版权

版权所有 2004-2013 SPARTA, Inc. 保留所有权利。 请参阅随附的 COPYING 文件
有关详细信息，请参阅 DNSSEC-Tools 包。

使用 onworks.net 服务在线使用 maketestzonep