Monthly Archives: September 2023

คำถาม หลังจาก disable DNSSEC สำหรับ domain นึงแล้ว จะใช้เวลาเท่าไหร่ ก่อนที่ สถานะของ DNSSEC สำหรับ domain นั้นๆ จะถูกยกเลิก กลายเป็น domain ที่ไม่มีการใช้งาน DNSSEC?

นี่คือผลของการตรวจสอบที่ตัว server ของ domain นั้น

root@turtle:~# rndc dnssec -status cjz.monster
dnssec-policy: default
current time:  Thu Sep 28 15:54:07 2023

key: 20391 (ECDSAP256SHA256), CSK
  published:      yes - since Tue Jan 31 11:12:43 2023
  key signing:    yes - since Tue Jan 31 11:12:43 2023
  zone signing:   yes - since Tue Jan 31 13:17:43 2023

  No rollover scheduled
  - goal:           omnipresent
  - dnskey:         omnipresent
  - ds:             omnipresent
  - zone rrsig:     omnipresent
  - key rrsig:      omnipresent

key: 47119 (ECDSAP256SHA256), CSK
  published:      no
  key signing:    no
  zone signing:   no

  Key has been removed from the zone
  - goal:           hidden
  - dnskey:         hidden
  - ds:             unretentive
  - zone rrsig:     hidden
  - key rrsig:      hidden

โดยที่ปิด DNSSEC ที่ server ของ namecheap แล้ว

# dig +trace cjz.monster soa | grep $'RRSIG\tSOA' | awk '{ print $9,$10 }'
20231008012542 20230924002542

เท่าที่ดูแล้ว น่าจะเป็น 2023-10-08 01:25:42
คือวันที่ 8 ตุลาคม นี้นะ

Edit: 2023-09-29 17:15
อาจจะไม่ใช่

cj@turtle:~$ dig +trace cjz.monster soa | grep $’RRSIG\tSOA’ | awk ‘{ print $9,$10 }’
20231012232439 20230928222439
cj@turtle:~$ date
Fri Sep 29 05:14:18 PM +07 2023

เป็นศัพท์คำใหม่ที่ได้มาจากการอ่านการ์ตูนหรือไม่ก็ Light Novel ซึ่งจะว่าไป เป็นศัพท์ที่เห็นมาบ่อยครั้งอยู่พอสมควรล่ะ แต่จาก context ของการเห็นครั้งแรกๆ ก็จะเป็นการอ่านแบบผ่านๆ เลยเห็นเป็นว่าคำนี้คือ castle ไม่ใช่ caste

ซึ่ง context ที่ว่าก็คือ ตัวเอก (ซึ่งมักจะเป็นผู้ชาย MC — Main Character หรือ Male Main Character) บรรยายถึงตัวละครในเรื่องอีกคนหนึ่ง ซึ่งมักจะเป็น Love Interest ของตัวเอกว่า different caste — ซึ่งทำให้เข้าใจว่า สาวเจ้าน่ะเป็นเจ้าหญิงอยู่บนหอคอย (castle) ซึ่งสูงเกินเอื้อม อะไรประมาณนั้น

จนเห็นคำนี้หลายครั้งเข้า ก็ชักสงสัยแล้วละว่า คนแปลน่ะ (หรือคนที่ทำหน้าที่ type setting) น่ะ ไม่ได้พิมพ์ผิดโดยการทำตัว l หายไป 1 ตัวหรอก แต่เป็นเราคนอ่านเองนี้แหละ ที่เข้าใจผิดมาตั้งแต่ตอนแรก

ก็เลยต้อง google search หา meaning of caste ดู

ก็ได้ข้อสรุปว่า ข้าพเจ้านี้น่ะ ไม่ใช่แมว แต่โง่เอง

คำนี้แปลว่า ชนชั้น หรือ วรรณะ

ติดตั้ง Debian Bookworm ใหม่ วันนี้บน VPS ของ cloudcone แล้วเจอว่า คำสั่ง ping มีปัญหาถ้าใช้งานจาก ผูัใช้ธรรมดาที่ไม่ใช่ root โดยเจอ

cj@cc1:~$ ping www.google.com
ping: socktype: SOCK_RAW
ping: socket: Operation not permitted
ping: => missing cap_net_raw+p capability or setuid?

2023-09-07 on cc1

เอาล่ะ มีปัญหาเรื่อง capability ล่ะ จะ set มันยังไง ยังไม่อยากแก้ปัญหาด้วย setuid root

Search google ก็ไปเจอ

https://unix.stackexchange.com/questions/592911/how-does-ping-work-on-fedora-without-setuid-and-capabilities

คำตอบที่น่าสนใจคือเรื่องของ ping group range ใน sysctl ซึ่งก็ไม่ตรงกับ capability โดยตรงสักเท่าไหร่ ลองหาดูจาก sysctl -a | grep ping_group_range ก็เจอเฉพาะ ipv4 ไม่มีของ ipv6 ค่าตั้งต้นเป็น 1 0

root@cc1:/home/cj# sysctl -a | grep net.ipv4.ping_group_range
net.ipv4.ping_group_range = 1 0

ซึ่งเป็น range เริ่มต้นที่ 1 และจบที่ 0

ซึ่งถ้าเป็นตามนี้จริงๆก็คือ ไม่มีใครใช้งานได้เลยแม้กระทั่ง root แต่จริงๆไม่ใช่ เพราะทดลองใช้ root แล้วก็สามารถ ping ได้ ไม่มีปัญหา

แต่เพื่อจะให้มันใช้งานได้ก่อน เพราะ cloudcone agent มันต้องการฟังก์ชันส่วนนี้ในการ monitor ตัว server อยู่ก็เลยไปเพิ่มไฟล์ 999-ping.conf ใน /etc/sysctl.d

echo “net.ipv4.ping_group_range=0 4294967295” > /etc/sysctl.d/999-ping.conf

ตามตัวอย่างใน stackexchange ซึ่งไม่ work ต้องเปลี่ยนค่า group ตัวหลังเป็น 65535 ถึงจะใช้งานได้

root@cc1:/home/cj# sysctl -p /etc/sysctl.d/999-ping.conf
sysctl: setting key “net.ipv4.ping_group_range”: Invalid argument

root@cc1:/home/cj# cat /etc/sysctl.d/999-ping.conf
net.ipv4.ping_group_range=0 65535

root@cc1:/etc/sysctl.d# sysctl -p /etc/sysctl.d/999-ping.conf
net.ipv4.ping_group_range = 0 65535