Depuis a priori ce matin, la résolution de l'ensemble du nom de domaine hzv.fr ne fonctionne plus.
Il semblerait que les glues records aient sauté. Quelques traces des debugs effectués de mon côté:
% dig hzv.fr
; <<>> DiG 9.16.33-Debian <<>> hzv.fr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 41836
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: db6ba7ebeacf5ed30100000063fc9a007d69f03a5f3428bb (good)
;; QUESTION SECTION:
;hzv.fr. IN A
;; AUTHORITY SECTION:
fr. 3207 IN SOA nsmaster.nic.fr. hostmaster.nic.fr. 2234412849 3600 1800 3600000 5400
;; Query time: 12 msec
;; SERVER: 192.168.69.1#53(192.168.69.1)
;; WHEN: Mon Feb 27 11:54:40 UTC 2023
;; MSG SIZE rcvd: 125
% dig -t NS hzv.fr
; <<>> DiG 9.16.33-Debian <<>> -t NS hzv.fr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 57046
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: eda76dc4649127a40100000063fc9a094f07c25d3aec5827 (good)
;; QUESTION SECTION:
;hzv.fr. IN NS
;; AUTHORITY SECTION:
fr. 3198 IN SOA nsmaster.nic.fr. hostmaster.nic.fr. 2234412849 3600 1800 3600000 5400
;; Query time: 20 msec
;; SERVER: 192.168.69.1#53(192.168.69.1)
;; WHEN: Mon Feb 27 11:54:49 UTC 2023
;; MSG SIZE rcvd: 125
% dig hzv.fr @dns1.tedomum.net
; <<>> DiG 9.16.33-Debian <<>> hzv.fr @dns1.tedomum.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10563
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; WARNING: recursion requested but not available
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;hzv.fr. IN A
;; ANSWER SECTION:
hzv.fr. 3600 IN A 146.59.209.152
;; Query time: 12 msec
;; SERVER: 2001:41d0:d:33ec::48#53(2001:41d0:d:33ec::48)
;; WHEN: Mon Feb 27 11:54:55 UTC 2023
;; MSG SIZE rcvd: 51
Depuis a priori ce matin, la résolution de l'ensemble du nom de domaine hzv.fr ne fonctionne plus.
Il semblerait que les glues records aient sauté. Quelques traces des debugs effectués de mon côté:
% dig hzv.fr
; <<>> DiG 9.16.33-Debian <<>> hzv.fr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 41836
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: db6ba7ebeacf5ed30100000063fc9a007d69f03a5f3428bb (good)
;; QUESTION SECTION:
;hzv.fr. IN A
;; AUTHORITY SECTION:
fr. 3207 IN SOA nsmaster.nic.fr. hostmaster.nic.fr. 2234412849 3600 1800 3600000 5400
;; Query time: 12 msec
;; SERVER: 192.168.69.1#53(192.168.69.1)
;; WHEN: Mon Feb 27 11:54:40 UTC 2023
;; MSG SIZE rcvd: 125
% dig -t NS hzv.fr
; <<>> DiG 9.16.33-Debian <<>> -t NS hzv.fr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 57046
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: eda76dc4649127a40100000063fc9a094f07c25d3aec5827 (good)
;; QUESTION SECTION:
;hzv.fr. IN NS
;; AUTHORITY SECTION:
fr. 3198 IN SOA nsmaster.nic.fr. hostmaster.nic.fr. 2234412849 3600 1800 3600000 5400
;; Query time: 20 msec
;; SERVER: 192.168.69.1#53(192.168.69.1)
;; WHEN: Mon Feb 27 11:54:49 UTC 2023
;; MSG SIZE rcvd: 125
% dig hzv.fr @dns1.tedomum.net
; <<>> DiG 9.16.33-Debian <<>> hzv.fr @dns1.tedomum.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10563
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; WARNING: recursion requested but not available
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;hzv.fr. IN A
;; ANSWER SECTION:
hzv.fr. 3600 IN A 146.59.209.152
;; Query time: 12 msec
;; SERVER: 2001:41d0:d:33ec::48#53(2001:41d0:d:33ec::48)
;; WHEN: Mon Feb 27 11:54:55 UTC 2023
;; MSG SIZE rcvd: 51
Ce matin, à compter de 7h16, l'ensemble des services TeDomum étaient inaccessibles, cela pose plusieurs questions à résoudre, que je propose de suivre dans cette issue.
Ce qui s'est bien passé cela-dit :
C'est en production depuis un an, je désactive l'authentification par mdp.
Sur le plantage initial, j'ai dump les logs du DNS1 dans ~/dns.log
sur aegir pour investigation. Ca resemble à un DoS par épuisement des connexions dispos, intentionnel ou pas. Une possibilité serait une accumulation de sockets AXFR ouverts et bloqués dans l'impossibilité de joindre la master (on sait qu'il plante de temps en temps, plus souvent que les slaves en tout cas).
Je ne copie pas les logs ici avant d'avoir trié, puisqu'il y a les noms de domaine de gens hébergés chez nous partout.
Ce matin, à compter de 7h16, l'ensemble des services TeDomum étaient inaccessibles, cela pose plusieurs questions à résoudre, que je propose de suivre dans cette issue.
Ce qui s'est bien passé cela-dit :
C'est migré et utilisé tous les jours maintenant :)
C'est prêt, les profils sont importés et j'ai proposé à llaq de tester la procédure de migration avant de spammer tout le monde !
La configuration est prête, ça fonctionne sans problème d'écrasement de profil etc. donc trivial de migration.
Il me reste à réimporter les profils pour qu'ils soient claimables et à notifier tout le monde.
kaiyou (5e9a4216) at 05 Nov 08:59
Revert "Bind an unprivileged port"
kaiyou (fc04f8fe) at 05 Nov 08:38
Bind an unprivileged port
kaiyou (82360867) at 05 Nov 08:26
Link the Dockerfile
kaiyou at 05 Nov 08:25
Première étape : explorer l'authentification PDNSadmin avec Hiboo.
La meilleure documentation à ce stade est ici, et doit pouvoir être explorée avec unclient en mode OIDC natif sur Hiboo, puis on créera éventuellement un template d'paplication : https://github.com/ngoduykhanh/PowerDNS-Admin/blob/master/docs/oauth.md