So-net無料ブログ作成
スポンサードリンク

DNSサーバのKSKロールオーバー対応メモ [DNS]

ネットワーク関連のニュースで、KSKロールオーバーの情報がチラホラと出ています。
内容的にはDNSルートゾーンKSKが更新されて、一部のDNSサーバが正常に動作しなくなるもよう。
専門的な内容が多く、実際に何をしないといけないか分かりにくかったので、調べた内容のメモ。
KSKはKey Signing Keyの略

対応しないといけないサーバと内容は
DNSSECが有効になっているDNSキャッシュサーバトラストアンカーの更新
DNS応答で大きなサイズに対応可能なこと。
この2点のようです。

DNSキャッシュサーバのトラストアンカーの更新ですが、パッケージでインストールしていない場合は、
該当のキーファイルを更新するようになる。
yumなどのパッケージでインストールをしている場合は、アップデートをすることで対応が完了する。
CentOSの場合の確認はnamed.confで指定している、トラストアンカーファイル
/etc/named.iscdlv.key
で、このファイルの内容を確認すると古い日付になっている。
# These keys are current as of January 2011. If any key fails to

bindをアップデートし、
# yum update bind
再度、/etc/named.iscdlv.keyの中身を確認し、
# These keys are current as of Feburary 2017. If any key fails to
のように日付が更新されていれば良いかと。

DNSSECが無効になっていたら関係は無いようなのですが、bindは脆弱性も多いので、
念のためにアップデートはしておいた方が良さそう。
DNSSECはデフォルトでは有効になっているので、設定変更をしないかぎりは無効にならないので、
注意が必要。

DNS応答で大きなサイズに対応可能になっているかを確認するには、
digコマンドで、
$ dig +bufsize=4096 +short rs.dns-oarc.net txt
を実行し、以下のような返答が有ればOK

rst.x4050.rs.dns-oarc.net.
rst.x4058.x4050.rs.dns-oarc.net.
rst.x4064.x4058.x4050.rs.dns-oarc.net.
"xxx.xxx.xxx.xxx DNS reply size limit is at least 4064"
"Tested at 2017-xx-xx xx:xx:xx UTC"
"xxx.xxx.xxx.xxx sent EDNS buffer size 4096"

reply size limitの値が1424より大きければ対応済み。

もしくは、以下のサイトへブラウザでアクセスし、1から4の結果がpassになっていれば良いそうです。
通常のインターネット回線を利用していれば問題は無いと思いますが、VPN経由とかだと対応していない
場合も有るようなので、チェックはしておいたほうが良さそうです。

対象のサーバを運営している場合は、名前解決が出来なくなり、サーバに接続が出来ないなどのトラブルが発生するので、早めの対応しておいた方が良さそうです。

CacheDNSサーバの構築メモ [DNS]

DNSサーバBINDを利用することが多いが、最近は脆弱性も多く発見され色々と問題も多く出ているので、セキュリティの脅威を分散するため権威DNSキャッシュDNSサーバを分けて構築するほうが良いみたいなので、今回はキャッシュDNSサーバを構築したときのメモ。

まずはBINDのインストール
# yum -y install bind bind-utils

次はnamed.confの設定
named.confを一部修正
# vi /etc/named.conf

allow-query { localhost; 192.168.1.0/24; };  ← 利用(クエリを許可)するネットワークアドレスを入れる
recursion yes;                     ← キャッシュDNS(リゾルバー)として動作

zone "." IN { ← ルートゾーンファイル指定
type hint;
file "named.ca";
};

include "/etc/named.rfc1912.zones";      ← localhostやloopbackアドレス等設定

後はBINDを起動すれば、DNSサーバが利用できる。
CentOS6の場合
# service named start

CentOS7の場合
# systemctl start named

動作確認はサーバ上かDNSサーバ設定をしたクライアントから、
# dig
で、問い合わせ先のroot情報が表示されればOKかな。
気になれば、AレコードやMXレコードの問い合わせなど。
# dig www.google.co.jp ← Aレコード問い合わせ
# dig mx gmail.com   ← MXレコード問い合わせ

ルータまたはF/W配下に設置し、外(インターネット側)からの問い合わせが出来ない状態
にするのが良いですな。

zone "localhost"やzone "0.0.127.in-addr.arpa" 設定は
include "/etc/named.rfc1912.zones"を入れておけばOK

ルートサーバ情報が記載されている「named.ca」ファイルは時々更新されるので、
ある程度の更新頻度でファイルも更新したほうがベストかな。

bindインストールしたのにnslookupやdigが使えない時 [DNS]

DNSサーバの構築でbindをインストールと、DNSサーバの設定・構築が完了し、動作確認でnslookupdigを使おうとすると、
# nslookup
-bash: /usr/bin/nslookup: No such file or directory
# dig www.yahoo.co.jp
-bash: dig: command not found
などと、コマンド有りませんなどのエラーが出た場合は、これらのコマンドを使うパッケージ
bind-utils
がインストールされてないことが有ります。
bindのインストールで必要なパッケージは、
bind-libsなので、yumでインストールするとbind-utilsのインストールを忘れやすい。

この場合、
yum install bind-utils
で、インストールすればnslookupやdigを使用することが出来ます。

bindインストールするときに
yum install bind bind-utils
とすれば、両方入るので嵌まることが無いですね。

あとインストールするときに慌てて、bind-utilsの最後の”s”を打ち忘れても、インストール出来ないので気をつけましょう。
yum install bind-util
No package bind-util available.
Error: Nothing to do
等のエラーが出ます。

こういう時は大体が焦ってることが多いので、こんな事をついついやっちゃいますよね。


bind起動後にIPv6系のエラーログが多数吐き出すようになった場合 [DNS]

bindをインストールして起動した後にログを確認すると・・・
cat /var/log/named.log
error (network unreachable) resolving 'xxxx196.xxxxdns.com/AAAA/IN': 2111:211:2a::f#53
のようなエラーログが多数出ることが有りました。
内容から見るとIPv6係のようにみえるのですが、IPv6係のログでした。
IPv6で外部との通信が上手く出来ないと出るログのようです。
ほっといても問題は無いみたいですが、環境によってはかなりのログが出力され、
必要なログが埋もれるようになるので、出さないように処理をしたほうが良いかと。
サーバからIPv6そのものを無効にすれば、このログは出ないようですが、
IPv6を残したい場合は、bindの設定を変更すればログが出なくなります。
設定方法は
/etc/sysconfig/named
のファイルの最後に
OPTIONS="-4"
を追記して、bindを再起動したら、
service named restart
IPv6のエラーログが出なくなりました。

OPTIONS="-4"の'-4'はIPv4のみ有効にするということみたいです。
ということは、OPTIONS="-6"にすればIPv6専用になるということなのかなと思いやってみました。
OPTIONS="-4"

OPTIONS="-6"
に変更して、bindを再起動すると、
Starting named: named: IPv6 not supported by OS
というエラーが表示されました。
そういえばLinuxのIPv6を無効にしていたので、動かないのは当然ですね。

スポンサードリンク
シャンパン酵母エキス