[linux] DNS, verborgen in het midden

Geert Stappers stappers op nllgg.nl
Zo Okt 19 17:46:31 CEST 2025 

Op Sat, Oct 04, 2025 at 07:01:10AM +0200, Geert Stappers via Linux schreef:
> 
> (Samenvatting: Welke DNS-dienstverlener bied gezochte dienst aan?)
> 
> Hallo,
> 
> 
> Mijn inschatting is dat er reeds opstellingen zijn met
> een verborgen DNS in het midden.
> 
> Aan de ene kant van die verborgen DNS meerdere mensen
> die die DNS mogen updaten. Aan de andere kant van
> de verborgen DNS een DNS die authoritive is
> en ook nog DNSSEC doet. Het is een aanbieder van
> van zulke domain name servers die gezocht wordt.
> 
> Probleem wat ik wil oplossen, is dat meerdere mensen DNS update kunnen
> doen. Zonder dat die mensen de officieele DNS hoeven te beheren.
> 
> 
> "Plaatje":   M -- a -- V -- b -- D
> 
> Legenda:
> M: Mensen
> V: Verborgen DNS
> D: Officieele DNS
> a: toegang voor Mensen tot Verborgen DNS
> b: communicatie tussen de Domain Name Servers
> 
> 
> Het idee is dat voor 'M' en 'a' vanalles mag veranderen
> zonder dat 'b' en 'D' daar last van hebben.
> 
> 
> Waarschijnlijk "erg vaag"  of  "daar kan ik niets mee".
> 
> Daarom een toelichting op het probleem. 'M' zijn leden van
> beheercommissie van NLLGG. 'D' is DNS die momenteel via
> een webinterface zijn updates van beheercommissie krijgt.
> Dat gaat met gezamenlijk gebruik van 1 account. En dan
> staat de domein data alleen daar in "webinterfaceformaat".
> 
> Het probleem van "data alleen in webinterfaceformaat" is
> opgelost met https://gitlab.com/nllgg/widz 'M' heeft daar
> schrijfrechten.
> 
> Het probleem van 1 account (het probleem van een "shared secret")
> wil ik oplossen door 'b', de koppeling tussen 'V' en 'D'.
> 
> Daarvoor ben ik dus op zoek naar 'b' en 'D'.
> Eigenlijk ben ik opzoek naar 'D' en documentatie over 'b'.
> 
> Wat hebben jullie zoal aan zulke dingen gezien?
> Wat zou de officieele naam van 'b' zijn?
> 
> Het traject 'M'-'a'-'V' zal iets met "webhooks" worden.
> 
 
Off-list was er een tip om naar https://dnscontrol.org 
Die software lijkt op https://github.com/octodns/octodns/blob/main/README.md
en die `octodns` wordt gebruikt in "wat in DNS zit"
van https://gitlab.com/nllgg/widz


Toen besefte ik beter welke probleem ik probeer op te lossen.
Van 'D', officieele DNS, kan de API-key die DNS-update mag doen
ook bestellingen en re-imagingen van VPS doen. Vandaar om
niet die zware API-key aan 'M' kant te hebben. Om opzoek
te gaan met een oplossing als een "hidden master DNS".

Weten jullie een DNS-service provider die DNS-data accepteert
van een voor het domein specifiek toegewezen Domain Name Server?


Groeten
Geert Stappers
-- 
Silence is hard to parse

Meer informatie over de Linux maillijst