[systemd][dns] “Server returned error NXDOMAIN, mitigating potential DNS violation DVE-2018-0001, retrying transaction with reduced feature level UDP”が出力されていたので確認してみた。

2019-03-18 10:10:03Security, UbuntuDNS, DNSSEC, DVE, NXDOMAIN, systemd-resolved, ubuntu

pat-krupa-1186996-unsplash.jpg

ちょいと手元のUbuntu bionicをインストールしていたPCのsyslogを確認していたところ、以下のようなメッセージが出力されていました。

Mar 17 18:04:47 xxxxx systemd-resolved[26858]: Server returned error NXDOMAIN, mitigating potential DNS violation DVE-2018-0001, retrying transaction with reduced feature level UDP.

なんじゃらほいと思ったので確認してみました。

どうやら以下のものがそれみたいです。



From packet capture it appears that DNS query with EDNS0 DO (DNSSEC OK) bit set to zero, is responded to with NXDOMAIN.

ということで、systemd-resolvedが正しく名前解決できないバグなんですね・・・
どうやらsystemd側では修正が終わっているようですが、ubuntuのlaunchpadでは現在進行形で修正中のようで、ちょこちょこWebでも質問している人が見つかる模様。

今のところは、一旦、systemd-resolvdを止めて、以前のようにresolv.confにべた書きするか、以下のようにresolvconfなどを使用のがいいみたいですね。

$ sudo rm /etc/resolv.conf
$ sudo ln -s /run/resolvconf/resolv.conf /etc/resolv.conf
$ systemctl restart resolvconf

まあ普通にべた書きでも良いと思います。

この記事を書いた人

kometchtech

うつ病を患いながら、IT業界の末席にいるおっさんエンジニア。科学計算をしたことがないのに、HPC分野にお邪魔している。

興味のある分野で学習したことをblogにまとめつつ、うつ病の経過症状のメモも置いておく日々。

じつはRouterboard User Group JPの中の人でもある。

Amazon欲しいものリスト / Arm板を恵んでくれる人募集中

2019-03-18 10:10:03Security, UbuntuDNS, DNSSEC, DVE, NXDOMAIN, systemd-resolved, ubuntu