Software-update: Unbound 1.16.0

Unbound logo (79 pix) Als je een dns-look-up uitvoert, begint een recursor in eerste instantie met het stellen van de look-upvraag aan een dns-rootserver. Deze kan dan doorverwijzen naar andere servers, vanaf waar weer doorverwezen kan worden naar andere servers enzovoort, totdat uiteindelijk een server is bereikt die het antwoord weet of weet dat de look-up niet mogelijk is. Van dit laatste kan sprake zijn als de naam niet bestaat of de servers niet reageren. Het proces van het langslopen van verschillende authoritative servers heet recursie. Unbound is een dns-recursor met ondersteuning voor moderne standaarden, zoals Query Name Minimisation, Aggressive Use of Dnssec-Validated Cache en authority zones. De ontwikkelaars hebben versie 1.16.0 uitgebracht en daarin zijn de volgende veranderingen en verbeteringen aangebracht:

Features
  • Merge PR #604: Add basic support for EDE (RFC8914).
Bug Fixes
  • Fix #412: cache invalidation issue with CNAME+A.
  • Fix that TCP interface does not use TLS when TLS is also configured.
  • Fix #624: Unable to stop Unbound in Windows console (does not respond to CTRL+C command).
  • Fix #618: enabling interface-automatic disables DNS-over-TLS. Adds the option to list interface-automatic-ports.
  • Remove debug info from #618 fix.
  • Fix #628: A rpz-passthru action is not ending RPZ zone processing.
  • Fix for #628: fix rpz-passthru for qname trigger by localzone type.
  • Fix that address not available is squelched from the logs for udp connect failures. It is visible on verbosity 4 and more.
  • Merge #631 from mollyim: Replace OpenSSL's ERR_PACK with ERR_GET_REASON.
  • Fix to detect that no IPv6 support means that IPv6 addresses are useless for delegation point lookups.
  • update Makefile dependencies.
  • Fix check interface existence for support detection in remote lookup.
  • Fix #633: Document unix domain socket support for unbound-control.
  • Fix for #633: updated fix with new text.
  • Fix edns client subnet to add the option based on the option list, so that it is not state dependent, after the state fix of #605 for double EDNS options.
  • Fix for edns client subnet option add fix in removal code, from review.
  • Fix #630: Unify the RPZ log messages.
  • Merge #623 from rex4539: Fix typos.
  • Fix pythonmod for change in iter_dp_is_useless function prototype.
  • Fix compile warnings for printf ll format on mingw compile.
  • Merge PR #632 from scottrw93: Match cnames in ipset.
  • Various fixes for #632: variable initialisation, convert the qinfo to str once, accept trailing dot in the local-zone ipset option.
  • Fix #637: Integer Overflow in sldns_str2period function.
  • Fix for #637: fix integer overflow checks in sldns_str2period.
  • Fix configure for python to use sysutils, because distutils is deprecated. It uses sysutils when available, distutils otherwise.
  • Merge #644: Make `install-lib` make target install the pkg-config file.
  • Fix to ensure uniform handling of spaces and tabs when parsing RRs.
  • Fix to describe auth-zone and other configuration at the local-zone configuration option, to allow for more broadly view of the options.
  • Merge PR #648 from eaglegai: fix -q doesn't work when use with 'unbound-control stats_shm'.
  • Fix #651: [FR] Better logging for refused queries.
  • Fix spelling error in comment in sldns_str2wire_svcparam_key_lookup.
  • Fix zonemd check to allow unsupported algorithms to load. If there are only unsupported algorithms, or unsupported schemes, and no failed or successful other ZONEMD records, or malformed or bad ZONEMD records, the unsupported records allow the zone load.
  • Fix zonemd unsupported algo check.
  • Fix zonemd unsupported algo check reason to not copy to next record, and check for success for debug printout.
  • Fix zonemd unsupported algo check to print unsupported reason before zeroing it.
  • Fix zonemd unsupported algo check to set reason to NULL before the check routine, but after malformed checks, to get the correct NULL output when the digest matches.
  • Fix #670: SERVFAIL problems with unbound 1.15.0 running on OpenBSD 7.1.
  • Fix Python build in non-source directory; based on patch by Michael Tokarev.
  • Fix #673: DNS over TLS: error: SSL_handshake syscall: No route to host.
  • Merge #677: Allow using system certificates not only on Windows, from pemensik.
  • For #677: Added tls-system-cert to config parser and documentation.
  • Fix #417: prefetch and ECS causing cache corruption when used together.
  • Fix #678: [FR] modify behaviour of unbound-control rpz_enable zone, by updating unbound-control's documentation.
  • Fix typos in config_set_option for the 'num-threads' and 'ede-serve-expired' options.
  • Fix to silence test for ede error output to the console from the test setup script.
  • Fix ede test to not use default pidfile, and use local interface.
  • Fix some lint type warnings.
  • Fix #684: [FTBS] configure script error with libmnl on openSUSE 15.3 (and possibly other distributions)

Unbound

Versienummer 1.16.0
Releasestatus Final
Besturingssystemen Windows 7, Linux, BSD, macOS, Solaris, Windows Server 2008, Windows Server 2012, Windows 8, Windows 10, Windows Server 2016, Windows Server 2019, Windows 11
Website Unbound
Download https://nlnetlabs.nl/projects/unbound/download/
Licentietype Voorwaarden (GNU/BSD/etc.)

Door Bart van Klaveren

Downloads en Best Buy Guide

02-06-2022 • 19:08

26 Linkedin

Bron: Unbound

Update-historie

Reacties (26)

Wijzig sortering
Voor zij die hem via docker willen gebruiken is deze eigenlijk de enige optie:

https://hub.docker.com/r/mvance/unbound/

Let er wel mee op want deze matthew vond het nodig het hele idee van een lokale dns-resolver teniet te doen en alles standaard naar een third-party als cloudflare te redirecten. (Wegens anders te veel werk)
Je eigen resolver draaien is ook zo slim niet, privacy-gewijs. Want elke authoritative DNS server ziet dan jouw IP-adres.
Verschuilen achter een DNS van een provider is misschien zo gek nog niet.
Ligt ook een beetje aan de beweegredenen? Gebruik je DNS van de provider, Cloadflare of wat dan ook weten zij precies welke domeinen je bezoekt. Doe je zelf recursive lookups weet iedereen maar een beetje. Als ik gathering.tweakers.net open met bv Cloudflare als DNS dan weet Cloadflare dat ik specifiek die site bezoek. Gebruik ik unblound met recursive lookup dan weet de root server dat ik iets van .net bezoek, de .net authority dat ik iets van tweakers.net bezoek, en alleen de tweakers.net authoritive server weet dat ik gathering.tweakers.net bezoek. Maar de tweakers.net authoritive server weet niet dat ik ook nu.nl bezoek, terwijl Cloadflare dat wel weet. Met recursieve resolven weten de gebruikte DNS servers dus wel iets van wat jij bezoekt, maar ze weten lang niet zoveel als bij een DNS van ISP, Cloadflare, Google DNS waarbij juist die tussenliggende partij alles van jou weet.

Daarnaast kun je je ook afvragen hoe vaak de DNS en hosting service (website of whatever) gescheiden zijn. Want uiteindelijk zal je toch een verbinding met een server opzetten (op basis van het opgevraagde IP). Dus die server kent jouw IP vervolgens ook. Ik kan mijn IP adres dus wel uit de authoritive DNS server van Tweakers houden, maar ik kan daarmee niet voorkomen dat bv de webserver van Tweakers mijn IP adres kent. Uiteraard wel weer via andere routes zoals VPN, proxy, etc. Maar dat is een heel ander verhaal.

[Reactie gewijzigd door RobertMe op 2 juni 2022 20:38]

Als je alle verzoeken naar dezelfde DNS-server stuurt is dat een groter privacyrisico. Daar kan men een volledig profiel maken van je internetgedrag. Normaal wordt het gebruik van unbound juist gezien als privacyvoordeel.
Maar dat doet de Matthew Vance docker image toch juist niet? Het doet recursive DNS dus elke partij weet maar een beetje. Geen enkele heeft een compleet adres..
Dat bedoel ik toch? Hierboven werd beweerd dat het draaien van een recursive DNS een privacyrisico is. Dat is het juist niet.
Maar in de reacties hier staat juist dat mvance geen recursive DNS doet. Daarvoor moet je die van Klutchell pakken. Dat was nieuws voor mij, ik draai al paar jaar mvance, in de veronderstelling dat deze recursive DNS deed.
Maar ik reageerde op Sympa die beweerde dat het draaien van een eigen resolver privacygevoelig is en dat dat niet zo zou zijn als je de DNS-server van je provider gebruikt.
Verschuilen achter een VPN laat je toch ook lekker zelf resolven.
Kijk eens naar QNAME minimization. Zit in unbound en is juist bedoeld om dit tegen te gaan.
Je zit met 2 filosofieën: iedereen weet een beetje en KAN de puzzel samen gaan leggen. Of 1 persoon weet alles en ZAL de puzzel samen leggen. Bij 1 kan je slapeloze nachten hebben want "Wie wat wat?" En "wat doet hij er mee?" Er kan data bij jong un zitten die er een nucleair conflict door begint. Bij 2 weet je dat alles bij persoon X zit en mag je er gif op innemen dat hij z'n businessmodel mee verrijkt.

Dus de vraag, qua privacy, is meer of je liever iedereen een stukje cake geeft, of geef je liever de cake aan 1 persoon?
Deze heeft Unbound wel als recursive resolver geconfigureerd: https://github.com/klutchell/unbound-docker (er is dus een tweede optie, en een betere naar mijn mening)
Gebruik 'm al even en werkt goed!

[Reactie gewijzigd door Church of Noise op 2 juni 2022 20:19]

Bizar, ik was dus overtuigd dat die van Matthew Vance recursive DNS deed. Dank voor deze tip.
Als alternatief kun je deze pakken:

https://hub.docker.com/r/klutchell/unbound

Deze image is meer basic en heeft geen voorgedefinieerde forward naar een dns server.
Fijn in combinatie met pihole.
dat zeker,
en voor iedereen die aan het zoeken is even snel de handleiding inclusief argumentatie
https://docs.pi-hole.net/guides/dns/unbound/
Bij Bullseye moet je in bepaalde gevallen wel de resolver config nog even weggooien, anders wordt een deel van de DNS requests alsnog naar je eerder ingestelde DNS-server gestuurd. Dat was bij de voorlopers van Bullseye niet het geval.
rm /etc/resolv.conf bedoel je? Of iets anders?
/etc/unbound/unbound.conf.d/resolvconf_resolvers.conf

Als je RPI via DHCP een DNS-server heeft meegekregen kom het IP-adres hiervan in deze configfile terecht. Als je dus eerst gebruik maakte van 1.1.1.1 en je richt dan je Pihole met Unbound in staat 1.1.1.1 dus in die configfile en worden DNS-request vanuit je netwerk via je pihole nog steeds naar 1.1.1.1 gestuurd.
Dat bestand komt bij mij niet voor, toch bedankt voor de tip!
Ziet er interessant uit, alleen gebruik ik 1.1.1.3 als primaire DNS in mijn pihole. Na overgang naar unbound moet je dan hangmatig bijzonder veel blok lijsten invoeren die nog lang niet zoveel afdekken als 1.1.1.3 al doet.
Dat is natuurlijk ook logisch. 1.1.1.3 bevat al een filter en als je unbound gebruikt wordt er helemaal niets gefilterd.
Ik probeer sinds release 1.15 al een manier te vinden om mijn huidige Unbound versie te updaten.
Het enige wat ik kan vinden is een manual compile doen, is 1.16 nog niet aan de repo toegevoegd van Ubuntu?
De repositories lopen vaak achter op de officiële versie, zeker op een distro zoals Ubuntu die vaak alleen maar security patches terug brengt. Als je de nieuwste versie wilt moet je of voor een rolling release distro, of manual compile, of wachten totdat Ubuntu er een versie van heeft
Eerlijk een zeer fijn progamma om te gebruiken, zeker in combinatie met iets zoals AdguardHome of PiHole is het een fijne combinatie.

PS: Voor de mensen die willen weten welk dashboard dat is, het is Grafana(https://grafana.com/) + Grafana Dashboard(https://grafana.com/grafana/dashboards/11705) + Prometheus + Unbound-Telemtry(https://github.com/svartalf/unbound-telemetry).

Dit is wat ik gok maar zover het lijkt is dit de combinatie, voor wie dat dashboard wilt :D

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ

Rapporteer misbruik van moderaties in Frontpagemoderatie.



Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee