がらくたネット


bind 9.7

bind 9.7

SL6ではbind-9.7.3になってる。以前のbind-9.3からはちょっと構成が異なってるので注意が必要。 caching-nameserverパッケージはなくなってる。

chrootパッケージを入れると次のファイルとディレクトリがinitスクリプト経由でマウントされる

chrootするディレクトリ名はROOTDIR=/var/named/chrootとすると、全てROOTDIR以下にマウントされるのです。ファイルもディレクトリもです。mountコマンドの–bindオプションが使われてます。 ファイルの場合は、ROOTDIR先に存在していないかファイルサイズが0バイトの場合にマウントされる。ディレクトリの場合はROOTDIR先に該当ディレクトリ名が存在していない場合にマウントされる。

元ファイル 説明
/etc/named ディレクトリ
/etc/pki/dnssec-keys デフォルトではディレクトリはない、ROOTDIR側に直接あり
/var/named ゾーンファイルを保存するディレクトリ
/etc/named.conf named設定ファイル本体
/etc/named.dnssec.keys デフォルトはない
/etc/named.rfc1912.zones localhostとその逆引きゾーン
/etc/rndc.conf デフォルトない
/etc/rndc.key デフォルトない
/usr/lib64/bind
/usr/lib/bind
/etc/named.iscdlv.key dlv.isc.orgのトラストアンカー
/etc/named.root.key rootゾーンのDNSKEY

この仕様でのメリットはなんだろう?…
Oh.おぅ。なるほど。
named-checkconfとかコンフィグファイル名をデフォルトのままでいけたりするのか。

DNSSEC Lookaside Validation (DLV)ってことらしい。

ソーンファイルの管理

さて。ゾーン管理するのに標準的な方法はどうなんだろうか。
ゾーンファイルは/var/named/dataに保存する。 逆引きファイルも同じ。 スレーブデータは/var/named/slavesに保存する。

chroot環境下では/var/namedが/var/named/chroot/var/namedにマウントされる。

この環境を保って、データファイルを管理する事になる。

必要最低限のゾーンファイル管理にしたいよね。 って事で、必要最低限となるとhintファイルとなるnamed.caだけだったりする??

namedを起動したら/var/named/dynamicにmanaged-keys.bindってなファイルが自動的に作成される。これは何???
これはね、DNSSECのkeyが登録されたファイルになります。 自動起動でなければ新規作成してくれ、自動更新になっている感じです。 詳しくは後日…ってな感じ。

named.confなこと

DNSSECの有効化

dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;

bindkeys-file "/etc/named.iscdlv.key";
の指定があるので、起動時に自動的にDNSSEC用のbindファイルが生成される

rndcの設定ファイルが生成されていないので/var/log/messagesにエラーが報告されるから作ってしまおう。-rでランダムファイルを/dev/urandomを指定しないとレスポンスが返ってきませーん!乱数データを作成するのに普通の/dev/randomでは足りないんだよね。っか、エラーだしてよ。

rndc-confgen -a -b 512 -r /dev/urandom
/etc/rndc.confが作成されるので、named.confに突っ込む
controls {
        inet 127.0.0.1 allow { localhost; } keys { rndc-key; };
};
include "/etc/rndc.key";

named-checkconfなこと

named-checkconfなこと

-h はヘルプ
-t [directory] は指定したディレクトリをchrootとして設定
-v はバージョン表示
-p はエラーがなければnamed.confとインクルードファイルの内容を表示
-z は全てのマスタゾーンをロードしてみるテスト
-j はゾーンファイルを読み込むときにあればジャーナルファイルも読み込む
エラーを検出したら1が戻り、それ以外は0が戻る