Ubuntu日本語フォーラム
ログインしていません。
お知らせ
#1 2010-08-13 07:30:14
- hotohoto
- メンバ
- 登録日: 2009-07-04
DNS で作動せず db.root あるのに not found となり、fail する
dns の問題です。
Gloval Domain 持っています。
片肺ながら情報提供を行うことができています。
しかしbindは起動に失敗しています。
おかっしというところをご指摘ください。
コードは下記
コード:
Aug 13 06:39:30 sv2 named[26324]: starting BIND 9.7.0-P1 -u bind Aug 13 06:39:30 sv2 named[26324]: built with '--prefix=/usr' '--mandir=/usr/share/man' '--infodir=/usr/share/info' '--sysconfdir=/etc/bind' '--localstatedir=/var' '--enable-threads' '--enable-largefile' '--with-libtool' '--enable-shared' '--enable-static' '--with-openssl=/usr' '--with-gssapi=/usr' '--with-gnu-ld' '--with-dlz-postgres=no' '--with-dlz-mysql=no' '--with-dlz-bdb=yes' '--with-dlz-filesystem=yes' '--with-dlz-ldap=yes' '--with-dlz-stub=yes' '--with-geoip=/usr' '--enable-ipv6' 'CFLAGS=-fno-strict-aliasing -DDIG_SIGCHASE -O2' 'LDFLAGS=-Wl,-Bsymbolic-functions' 'CPPFLAGS=' Aug 13 06:39:30 sv2 named[26324]: adjusted limit on open files from 1024 to 1048576 Aug 13 06:39:30 sv2 named[26324]: found 1 CPU, using 1 worker thread Aug 13 06:39:30 sv2 named[26324]: using up to 4096 sockets Aug 13 06:39:31 sv2 named[26324]: loading configuration from '/etc/bind/named.conf' Aug 13 06:39:31 sv2 named[26324]: reading built-in trusted keys from file '/etc/bind/bind.keys' Aug 13 06:39:31 sv2 named[26324]: using default UDP/IPv4 port range: [1024, 65535] Aug 13 06:39:31 sv2 named[26324]: using default UDP/IPv6 port range: [1024, 65535] Aug 13 06:39:31 sv2 named[26324]: listening on IPv4 interface lo, 127.0.0.1#53 Aug 13 06:39:31 sv2 named[26324]: listening on IPv4 interface eth0, 192.168.1.110#53 Aug 13 06:39:31 sv2 named[26324]: generating session key for dynamic DNS Aug 13 06:39:31 sv2 named[26324]: could not configure root hints from 'db.root': file not found Aug 13 06:39:31 sv2 named[26324]: loading configuration: file not found Aug 13 06:39:31 sv2 named[26324]: exiting (due to fatal error)
自分でもおかしいと思うところがいくつかあり
1: for dinamic DNS となっている。昔はそうだったですが今は違う。
2: db.root は同じ/etc/bind にある
3: db.root は chown root.root にした。 他は root.bind
端末では
コード:
:/etc/bind$ sudo /etc/init.d/bind9 reload * Reloading domain name service... bind9 WARNING: key file (/etc/bind/rndc.key) exists, but using default configuration file (/etc/bind/rndc.conf) rndc: no server specified and no default
keyの扱いが未だ理解していませんがなんとか早く作動させたいのです。メールも受けられないので。
まずはこのサーバ機を単純にdnsとメールサーバにしたいだけだけです。御指導をお願いします。
オフライン
#2 2010-08-13 08:19:06
- hito
- 管理者
- 登録日: 2007-03-18
Re: DNS で作動せず db.root あるのに not found となり、fail する
なんとなくnamed.confを含め、/etc/bindの下で何かをした結果のような気がしますが、その状態に至るまでの経緯は説明できるでしょうか。
説明できないなら、bind9パッケージを一度purgeして入れ直し、再設定した方がよさそうです。
が、
keyの扱いが未だ理解していませんがなんとか早く作動させたいのです。メールも受けられないので。
まずはこのサーバ機を単純にdnsとメールサーバにしたいだけだけです。御指導をお願いします。
というのも含め、あきらかに実地で自力運用するのは時期尚早なので、他の手段を検討して頂くべき、というのが正直なところです。
DNSはドメイン取得に使った業者のものを、MTAはGoogle Apps for your domainなどを用いて運用、というのを検討しないと、なにか災厄が起こる気がしてなりません。
オフライン
#3 2010-08-13 11:33:06
- hotohoto
- メンバ
- 登録日: 2009-07-04
Re: DNS で作動せず db.root あるのに not found となり、fail する
hito による投稿:
なんとなくnamed.confを含め、/etc/bindの下で何かをした結果のような気がしますが、その状態に至るまでの経緯は説明できるでしょうか。
説明できないなら、bind9パッケージを一度purgeして入れ直し、再設定した方がよさそうです。
さっそくどうも hito さん
ご心配ありがとうございます。
さて、そうですね。
DNSを今のubuntuに載せてからはかれこれ1年くらい この110号機は動いてくれています。
まあ仕事のほとんどはやってくれているわけです。
ドメインがあるが故に皆さん見にこられるわけでして、どこかにサーバを移転するとか委任するとか
を現在も将来もまったく考えていません。 自力で何とかしたいわけです。
個人しように近いので、責任はあまり無いです。うまくいかなくても人のせいにすることはありません。
ですからここでなんとか頑張るつもりです。頑固ですみません。
セキュリティの面では慎重に行いますのでどうかご安心ください。
踏み台にされたことは過去に2度13年ほど前です。linuxとは2.0.29からのお付き合いでした。
その割りには成長は無いです。それは管理が医者に任せていたからです。
実力がついていないのは事実ですが安全面は気を配っています。
いまのところアパッチが動いていますので単体動作は問題ないので
久しぶりにDNSに手を入れて と考えていたわけです。
確かにkeyの扱いが未だ理解していません。最近の機能についてはまったく理解できていません。
その点で言えば「あきらかに実地で自力運用するのは時期尚早」という意見は分かります。
そこでそのkey の関係したbind9 の今風の設定でやってみて、だめなら古の設定にすればいいじゃないか
と考えているわけです。
「かにか起きたら」と心配は無用です。お気軽にお教え願いたく。個人使用ですし、
なにかあっても文句はいうようなことは考えてもいません。
なお稚拙な質問のせいで「まったく知らん奴が無謀なこと」をとは考えないでいただきたい。
最近のDNSになれていないのです。
あまりに便利になりすぎた機能がついているために知識が追いついていないのです。
昔のように簡単に named.conf だけにしてもいいかなと思いっているほどです。
半年程前にも前に質問させてもらっていて、先生方から
「基本は named.conf だけしか見てないですよ」と教えてもらったので、最終的にどうしても
理解不能なら、そちらにすることを考えています。
でも、その前に今のUBUNTUに乗っている 今風のbind9 のファイル構成やらでやってみたいのです。
前置きが長くなりました。
セカンダリはmaehamaを設定したり、しました。db.local など db.* など一応文法的にもあまり間違いが
無いのではと思うほどほど見つめています。
さきほどは もしかしたら db.root が古いからかな ということで新しい db.root
に差し替えました。もちろん/ etc/bind/ 内のあるべきところに置いていたわけです。
にも関わらず
db.root が見つからないとなったので、何のことだろうということで質問させてもらいました。
key も generator で作ってから エラーは少なくなったとき記憶しています。これをいじったのは半年前
でも完全にはエラーが消えないわけです。
もうちょっとこのまま頑張ってみて、だめならパージでやり直し、それでもだめなら naked.conf 一本で考えます。
よろしくご意見ください。
オフライン
#4 2010-08-13 17:51:01
- ry
- メンバ
- 登録日: 2008-07-30
Re: DNS で作動せず db.root あるのに not found となり、fail する
サーバー運用に関してその程度のセキュリティ意識しかないなら、なおさら信頼できる業者に依頼するなど、他の手段を検討してください
「何かが起きた」ときには、貴方が気にせずとも、貴方以外の大勢が迷惑を被ることになります
小手先だけで対処せず、勉強し直して、現在の技術や機能をきちんと理解してから、改めてチャレンジしましょう
少なくとも訳も分からずに作業していると取られる質問をしない程度の、技術力を身につけてから、サーバーを公開するようにしてください
オフライン
#5 2010-08-13 22:13:02
- hotohoto
- メンバ
- 登録日: 2009-07-04
Re: DNS で作動せず db.root あるのに not found となり、fail する
ryさんどうも回答ありがとう
ところで、DNSに詳しい方に質問です。
「二台PCを用意、一台のマシンをDNSとpopサーバとapache、その隣にもう一台は apache と smtp
二台目はサブドメインにしたい(いろいろテストしたいから)」という命題があるとします。
現在のUBUNTUには bindでお勧めの設定が雛形で用意されています。
それらの「コマンド類の中で新しめの(ここ10年程度)(★とする)」には主として option / forward / acl / view
などがありますが、
ここで、 「bindの新しめのコマンド★」をすべて使わなかった昔ながらの named.conf
ほぼ一本にまとめたとする。 つまり昔ながらのコマンド類だけで構成させたような場合ということですが、
このような場合においての質問です。
問一 : UBUNTUにおいては、セキュリティ上特別な問題がありますか? (拡張しません)
UBUNTUとbindの関係上なにか問題となるとか
問二 : UBUNTUもbind9 に合致すれば使えば良い。
私感: 特に問題は無しと想像します。
問三 : 上記の場合、拡張性には問題がある。
私感: そう思います。今の方がよっぽど便利。
サブとかキャッシュだののいろいろできる。
しかしメインほぼ一機ですからいろいろできるようにしておくことがほとんど無い場合は
特に問題点が絞りにくく間違いが発生しやすいと思う。
問四 : 同じく、速度的に不利な点がある。
私感: 逆に早いかもしれない。 html の変遷を見ても同じようなことがいえるのでは?
問五 : 古(いにしえ)の bind コマンドしか知らない人はサーバーを立てない方が良い。
問六 : 同じくこのコーナーでは質問しないほうがよい。
私感 : 新しい構成は確かにいろいろできる。でも私がやりたいことはあまり拡張は考えていない。
わりとシンプルな要求構成だと思います。
実際に作ってみて今運用しているわけですが、実際には多くの分派したファイル群に分かれた為、
ミスを探す範囲が広がり正直とっつきにくいし面倒です。
ミスタイプを見つけにくくなっている。
現在の私の設定にはどこかのミスの項目があるのでしょう。
先だっては「.」と「,」を間違って入力していましたが、それを見つけるのに結構手間取ったのです。
一般の自称においては、シンプルイズベスト的な考えが通用しそうですが、
bindの場合そうといえるのかどうか 私は確信が持てません。
そこでお尋ねしていたわけです。
よろしくお願いします。
オフライン
#6 2010-08-14 00:36:37
- petitbootang
- メンバ
- From: 東京都
- 登録日: 2009-02-12
Re: DNS で作動せず db.root あるのに not found となり、fail する
グローバルではなく、内向きの DNS で十分に研究をされてからにしてください。
みなさんのアドバイスは、外部に深刻な迷惑をかける場合があることを心配してのことです。
ネームサーバのおかしな設定は、場合によっては DNS ネットワークを混乱に陥れる可能性があります。
個人しように近いので、責任はあまり無いです。うまくいかなくても人のせいにすることはありません。
「かにか起きたら」と心配は無用です。お気軽にお教え願いたく。個人使用ですし、
なにかあっても文句はいうようなことは考えてもいません。
このあたりの見解が、グローバルネットワークでのサーバ管理者の発言とはちょっと信じ難いんですね。
何かあったときに困るのは hotohoto さんの管理するネットワークではありませんよ。
オフライン
#7 2010-08-14 04:28:33
- si
- メンバ
- From: hokkaido kitami, jp
- 登録日: 2007-01-15
Re: DNS で作動せず db.root あるのに not found となり、fail する
気になるとこだけ
問一 : UBUNTUにおいては、セキュリティ上特別な問題がありますか? (拡張しません)
UBUNTUとbindの関係上なにか問題となるとか
問二 : UBUNTUもbind9 に合致すれば使えば良い。
*具体的な、バージョン間比較で質問しないと答え難いと思われます。
nameサーバは、特に古くて危険なサーバなので、頻繁に安全対策が施されているらしいので...
*bindは、apparmorの影響を受けますので、よく知りませんが、Debianとも違う設定が必要かも。
オフライン
#8 2010-08-14 07:23:58
#9 2010-08-15 22:59:00
- hotohoto
- メンバ
- 登録日: 2009-07-04
Re: DNS で作動せず db.root あるのに not found となり、fail する
si による投稿:
気になるとこだけ
問一 : UBUNTUにおいては、セキュリティ上特別な問題がありますか? (拡張しません)
UBUNTUとbindの関係上なにか問題となるとか
問二 : UBUNTUもbind9 に合致すれば使えば良い。
*具体的な、バージョン間比較で質問しないと答え難いと思われます。
nameサーバは、特に古くて危険なサーバなので、頻繁に安全対策が施されているらしいので...
*bindは、apparmorの影響を受けますので、よく知りませんが、Debianとも違う設定が必要かも。
基本的にupdate upgrade はすべて行っている状態での質問と思ってください。
UBUNTUは10.04
bind9 も最新です。
オフライン
#11 2010-08-16 08:29:51
- hotohoto
- メンバ
- 登録日: 2009-07-04
Re: DNS で作動せず db.root あるのに not found となり、fail する
petitbootang による投稿:
グローバルではなく、内向きの DNS で十分に研究をされてからにしてください。
みなさんのアドバイスは、外部に深刻な迷惑をかける場合があることを心配してのことです。
ネームサーバのおかしな設定は、場合によっては DNS ネットワークを混乱に陥れる可能性があります。個人しように近いので、責任はあまり無いです。うまくいかなくても人のせいにすることはありません。
「かにか起きたら」と心配は無用です。お気軽にお教え願いたく。個人使用ですし、
なにかあっても文句はいうようなことは考えてもいません。このあたりの見解が、グローバルネットワークでのサーバ管理者の発言とはちょっと信じ難いんですね。
何かあったときに困るのは hotohoto さんの管理するネットワークではありませんよ。
セキュリティ第一)(サービスはいつでも止めらる)(モニターは手元にある)(攻撃された記憶は鮮明)
petibuutangさん ご心配ありがとうございます。
私もセキュリティは最優先して考えています。それはみなさんと認識は同じです。
「質問に回答してもらったことについて」責任を転嫁するつもりが無いと申し上げている訳ですが、
これは悪い言い方だったでしょうか?
「いい加減な海藤だったら責任追及しても良い」ということでしょうか?
私はお気軽にご回答をいただきたい、その思いでそう書いただけです。
それは信じがたいことでしょうか。
またご心配のことは言われる間でもなく当たり前のことです。
なにがあったとしても自分で責任を持つということこれも当たりまえのことと考えています。
セキュリティ第一)(サービスはいつでも止めらる)(モニターは手元にある)(攻撃された記憶は鮮明)
いつの時代も dns の攻撃などが良く行われていること。
防御方法の対策と攻撃者のまた新たな攻撃方法。いたちごっこ的なこと。
この辺については改めて申し上げることもない事柄です。
ですからこの辺の倫理的なことがらについて論じるコーナーにしたくなかったので、
あっさりと個人的な使用と書いただけです。「要は(セキュリティについては)心配ないですよ。
その心構えはあります。その対策もします」とは前提です。そで申し上げたわけで、
こう書いてもまだ「心構えじゃあまだダメだよ」という意見もでるかもしれないのでいいますが、
実績的にも攻撃され外向きに問題になったこと13年前に一度あったきりです。
それ以後は外部に迷惑をかけたことはありません。
それだけセキュリティには注意をはらっていますししてきたつもりです。
もし心配していなければ、誰にも相談しないでさっさと「旧式の named.conf設定」でやっていたでしょう。
(セキュリティ第一)(サービスはいつでも止めらる)(モニターは手元にある)(攻撃された記憶は鮮明)
dns に限らず 新たな攻撃など次々と開発されています。
外部にサービスを提供するものは人的な運用を含めて慎重なつもりです。
だからその点は心配ないですよと申し上げているわけですね。
(セキュリティ第一)(サービスはいつでも止めらる)(モニターは手元にある)(攻撃された記憶は鮮明)
なにかおかしなことがあったらすぐ止めます。ですから私の手元にはいつもモニターがあります。
log は流しっぱなしで、 dnsに限らず不調があれば、それは
「個人的な使用」ですからいつでも期限不定期に止めることが出来ます。
(厳密に言えば特定の会員だけにスタティック中たちのデータを提供です。サーバ止めたら「ごめんね」で済む程度)
このようにソフトだけ人間だではない体制です。
(セキュリティ第一)(サービスはいつでも止めらる)(モニターは手元にある)(攻撃された記憶は鮮明)
こう書くと今度は「個人的ないつでも止めてもいいなんて、そんないい加減なサービスするくらいならやめちまえ」
といわれそうですが、どうかいたら分かってもらえるでしょうかね。
まあもしそういう質問が来たら「そんなの勝手」と答えるかも(笑い)
(セキュリティ第一)(サービスはいつでも止めらる)(モニターは手元にある)(攻撃された記憶は鮮明)
もどって、逆にここで質問しているのは、前提としてはセキュリティを考えての質問と理解してください。
(セキュリティ第一)(サービスはいつでも止めらる)(モニターは手元にある)(攻撃された記憶は鮮明)
「過去のそんなにいろい経験があるなら質問するな」といわないでいただきたい。
私は特にUBUNTUのことをあまり良く知りません。
端末にもやっととなれてきた程度です。しかし端末は端末それほど危なくない。
自分は「端末ではやれそうだったらやってみよう」で進める傾向がある。稚拙な質問も多いでしょう。
でもサーバに関してはそうではない。
端末のことはさておきサーバ運用には13年前の踏み台にされた記憶は鮮明で悔しい思いをした。
競って意味すだったからではありません。脆弱性をつかれた。
その時は何かあるかもということで出城サーバまで用意しましたが本丸サーバーもやられてしまった。
だから今は絶対安全主義です。
実際にサーバはサービス提供(自分だけへのsmtpが主です)は最低限に限っています。
(セキュリティ第一)(サービスはいつでも止めらる)(モニターは手元にある)(攻撃された記憶は鮮明)
あらためて書きますが特に基本はセキュリティを考えています。それを前提として質問しています。
dnsの解説はプリントにして読んでいます。熱さは5センチ位になります。
厚ければ良く勉強しているのでえらいでしょとかはいいませんよ、でも勉強して無い分けでもありません。
(そんなに勉強をしてるなら分かっているなら質問するなとは言わないでね)
私はほぼ完全に納得理解しないと分かったとは言わない主義なので。
(セキュリティ第一)(サービスはいつでも止めらる)(モニターは手元にある)(攻撃された記憶は鮮明)
その資料はネットで落とした資料ものですが親切に書いてもらっている。為になる。
そしていろいろな形での設定方法があるわけです。大まかにいうと
「maned.conf だけの簡便な方法」 「db.domainなどを使って設定ファイルを分割する方法」
が紹介されてもあります。(関係していることはこれなのでこの2つに絞った分類にした)
UBUNTUでは最近の思想に基づいて「設定構成ファイルを分割する方法」がとられていますね。
この方法は、それぞれはシンプル・補修・修正・拡張しやすかったりでメリットでしょう。
でもデメリットとしては「ファイル群が多く、間違いが見つけにくいこともある」ことでしょう。
そういう意見をどこかで見たことがあります。
(セキュリティ第一)(サービスはいつでも止めらる)(モニターは手元にある)(攻撃された記憶は鮮明)
一般的に完全なソフトはない linux / ububtu / bind / apache しかり。
それぞれをもし完全にマスターしたとして、それぞれを完璧に設定できたとしても、
全体の動きが完全に動くとは限りません。 ましてや人的なミスも重なります。
という認識は私も当然もっています。だからサーバ運用するなら特に慎重にしなければなりません。
(セキュリティ第一)(サービスはいつでも止めらる)(モニターは手元にある)(攻撃された記憶は鮮明)
だから私はセキュリティには特に気を配りたいわけです。
だからここで改めて質問させてもらっています。
私は危なっかしい質問をするかもしれませんが、そのまますぐにそれを実行するかと言うと、
「サーバに関しては私は行動として、それは無い」ということをご理解いただきたい。
(セキュリティ第一)(サービスはいつでも止めらる)(モニターは手元にある)(攻撃された記憶は鮮明)
さて、セキュリティの件が気になっている私は、先日、どうしても分からなかった件でしたが
(外部にはまださらしてないですよ、ご安心ください)
一つ間違っていたことを見つけました。
それは、 /etc/bind 以下の10個ほどの設定ファイルの一部に間違った設定があったことです。
Serial の項目の数値が間違っていたことです。
例えば通常というかおすすめにはは、 yyyymmddooの形式(例で言えば 2010081600) とかです。
私もそれに習ってdateを入れました。というか正しくいれたつもりでした。
しかしそこに yyymmddoomm としたファイルが複数あったことを思い出しました。
途中から直してありましたが、これは問題の一つであることは間違いない。
というのは以前から修正して更新したつもりでも、どうも更新がされていない挙動をしたからです。
これを私は早とちりしたのかもしれません。
「設定ファイルがたくさんあることによるそれらの相互間のなんらかの加減で誤動作をしているのかも
、だから言うことを聞かないのかも」と感じたのです。
セキュリティ重視思考なので シンプルな設定ファイルnamed.conf だけにしたらどうかなと考えたわけです。
しかしそうすると想像もつかない問題点が潜んでいるのかもと慎重に考えている。
そこでこうしてお尋ねしているわけです。
(セキュリティ第一)(サービスはいつでも止めらる)(モニターは手元にある)(攻撃された記憶は鮮明)
これからの対策と修正作業としては、
最初にその serial の数値を電卓で足して入れ直しをしてdns の設定をリセットするつもりです。
(セキュリティ第一)(サービスはいつでも止めらる)(モニターは手元にある)(攻撃された記憶は鮮明)
そういえば
/etc/bind 内をシンプルにして、試しましたがその設定にならない、思い通りにならなかったわけです。
これは私のミスです。
しかし「1ファイルより数多くの設定ファイルがあれば、より間違えやすい」ことは間違いありません。
(度々、書きますが特に基本はセキュリティを考えています。それを前提として質問しています)
セキュリティを重要視していることはご理解いただきましたでしょうか?
そこで、改めて質問です。
-----------------------------------------------
・最新の linux を使用する かつ
・最新の bind9 を使用する かつ
・ option acl view など近代的なコマンドを使わずに かつ
・named.conf を下記のごとく分割せず
コード:
include "/etc/bind/named.conf.options"; include "/etc/bind/named.conf.local"; include "/etc/bind/named.conf.default-zones";
(念のため書きますが 古いbind ではない) かつ
・極力 「named.conf ひとつ」だけの設定ファイルにする。
・smtp は1台、内部の特定の端末のみ数台限定(個人使用)
・apache2は最新で、一台ですがこれを2台にしたいなということろ
セキュリティを考えてテスト的な内部運用からスタートします。
(度々、書きますが特に基本はセキュリティを考えています。それを前提として質問しています)
・ドメイン一つ
--------------------------------
(セキュリティ第一)(サービスはいつでも止めらる)(モニターは手元にある)(攻撃された記憶は鮮明)
というところですが、
こういった条件ですと、危険でしょうか?
「bind9が新しい」場合に【「伝統的な形式の設定コマンド」を使った】ならば、危ないでしょうか?
それとも、それなら問題ない でしょうか?
私は問題はなさそうだと考えています。
linux + Fedora + bind9 + apache2 なら OK
linux + Debian + bind9 + apache2 なら OK
linux + slachware + bind9 + apache2 なら OK
linux + Redhat + bind9 + apache2 なら OK
でも
linux + UBUNTU + bind9 + apache2 は だめなのかもしれない
だから質問しているわけです。
もちろん設定ミスは除くです。
(最後にも書きますが、特に基本はセキュリティを考えています。それを前提として質問しています)
よろしくお願いします。
オフライン
#12 2010-08-16 08:41:32
- hotohoto
- メンバ
- 登録日: 2009-07-04
Re: DNS で作動せず db.root あるのに not found となり、fail する
si による投稿:
気になるとこだけ
問一 : UBUNTUにおいては、セキュリティ上特別な問題がありますか? (拡張しません)
UBUNTUとbindの関係上なにか問題となるとか
問二 : UBUNTUもbind9 に合致すれば使えば良い。
*具体的な、バージョン間比較で質問しないと答え難いと思われます。
nameサーバは、特に古くて危険なサーバなので、頻繁に安全対策が施されているらしいので...
*bindは、apparmorの影響を受けますので、よく知りませんが、Debianとも違う設定が必要かも。
si さんありがとうございます。
そのご意見をお待ちしておりました。
bind9の update と upgrade は常に考えています。
いまのところ動かしていない同然なので最新にしています。
コード:
PC141:~$ sudo apparmor_status apparmor module is loaded. 11 profiles are loaded. 11 profiles are in enforce mode. /sbin/dhclient3 /usr/bin/evince /usr/bin/evince-previewer /usr/bin/evince-thumbnailer /usr/lib/NetworkManager/nm-dhcp-client.action /usr/lib/connman/scripts/dhclient-script /usr/lib/cups/backend/cups-pdf /usr/sbin/cupsd /usr/sbin/named /usr/sbin/tcpdump /usr/share/gdm/guest-session/Xsession 0 profiles are in complain mode. 2 processes have profiles defined. 2 processes are in enforce mode : /usr/sbin/cupsd (2616) /usr/sbin/named (1115) 0 processes are in complain mode. 0 processes are unconfined but have a profile defined.
と言う風になっています。
オフライン
#13 2010-08-16 08:52:50
- ry
- メンバ
- 登録日: 2008-07-30
Re: DNS で作動せず db.root あるのに not found となり、fail する
hotohoto さんの投稿 (#11):
そこで、改めて質問です。
-----------------------------------------------
・最新の linux を使用する かつ
・最新の bind9 を使用する かつ
・ option acl view など近代的なコマンドを使わずに かつ
・named.conf を下記のごとく分割せずコード:
include "/etc/bind/named.conf.options"; include "/etc/bind/named.conf.local"; include "/etc/bind/named.conf.default-zones";(念のため書きますが 古いbind ではない) かつ
・極力 「named.conf ひとつ」だけの設定ファイルにする。
・smtp は1台、内部の特定の端末のみ数台限定(個人使用)
・apache2は最新で、一台ですがこれを2台にしたいなということろ
セキュリティを考えてテスト的な内部運用からスタートします。
(度々、書きますが特に基本はセキュリティを考えています。それを前提として質問しています)
・ドメイン一つ
--------------------------------
(セキュリティ第一)(サービスはいつでも止めらる)(モニターは手元にある)(攻撃された記憶は鮮明)
というところですが、
こういった条件ですと、危険でしょうか?
「bind9が新しい」場合に【「伝統的な形式の設定コマンド」を使った】ならば、危ないでしょうか?
それとも、それなら問題ない でしょうか?
危険です
理由は「option acl view など近代的なコマンドを使わず」にあります
最近の有名な DNS の不正アクセスについて調べれば、すぐに分かるはずです
そのような事項を調べもせずに「セキュリティ重視思考」とか「攻撃された記憶は鮮明」とか言われても、絵空事にしか聞こえません
オフライン
#14 2010-08-16 14:35:22
- hotohoto
- メンバ
- 登録日: 2009-07-04
Re: DNS で作動せず db.root あるのに not found となり、fail する
hotohot です。ありがとうございます。
hotohoto による投稿:
問い合わせ部分は途中省略
・・・
こういった条件ですと、危険でしょうか?
「bind9が新しい」場合に【「伝統的な形式の設定コマンド」を使った】ならば、危ないでしょうか?
それとも、それなら問題ない でしょうか?
ry による投稿:
危険です
理由は「option acl view など近代的なコマンドを使わず」にあります
色付き文字で「危険は」良く見えました。
「近代的なコマンド類を使うべき」なわけですね。承知しました。
アドバイスは私には上記で充分です、理解しました。
よって近代的なコマンド類でがんばっていこうと思います。
ただ、折角のご説明していただいたのに、書きすぎは逆効果になるかも知れません。
ry による投稿:
「調べれば、すぐに分かるはずです」
「事項を調べもせずに「セキュリティ重視思考」とか「攻撃された記憶は鮮明」とか言われても、絵空事にしか聞こえません
絵空事を並べたててどうも失礼致しました。
気構えだけではいけないと思いますが、それはまったく無駄でしょうか? 気構えもないよりはマシではないでしょうか?
それから、
「調べないのはとってもあなたは非常識」とも聞こえました。<ーこんな分に書いたらだれしも嫌でしょう?
ところで
DNSのセキュリティの件で microsoft ではこんなことが書いてありました。
以下引用
コード:
高レベルのセキュリティ
高レベルのセキュリティでは、中レベルのセキュリティと同じ構成を採用した上で、
DNS サーバー サービスをドメイン コントローラ上で実行し、
DNS ゾーンを Active Directory に格納することによって得られるセキュリティ機能を利用します。
また、高レベルのセキュリティでは、DNS とインターネットとの通信を完全に排除します。
これは一般的な構成ではありませんが、インターネット接続が必要な場合にお勧めます。
* 組織の DNS インフラストラクチャでは、内部 DNS サーバーとインターネットとの通信が
一切行われません。
* 組織のネットワークは、内部 DNS ルートと名前空間を使用します。この場合、DNS ゾーン
に対するすべての権限は内部に向けたものになります。
* フォワーダを使用するように構成された DNS サーバーは、内部 DNS サーバーの IP アド
レスのみを使用します。
* すべての DNS サーバーは、指定された IP アドレスへのみゾーン転送を行います。
* 指定された IP アドレスをリッスンするように DNS サーバーが構成されます。
* キャッシュ汚染の防止がすべての DNS サーバーで有効になります。
* 内部 DNS サーバーは、内部名前空間のルート ゾーンをホストする内部 DNS サーバーを指し
示すルート ヒントを使用するように構成されます。
* すべての DNS サーバーは、ドメイン コントローラ上で動作します。DNS サーバー サービス
では、DNS サーバーに対する管理作業を特定のユーザーのみが行えるように DACL (随意アク
セス制御リスト) が構成されます。
* すべての DNS ゾーンは Active Directory に格納されます。DACL は、特定のユーザーの
みが DNS ゾーンを作成、削除、または変更できるように構成されます。
* DACL は、DNS リソース レコードの DNS データを特定のユーザーのみが作成、削除、また
は変更できるように構成されます。
* DNS ゾーンに対して、セキュリティで保護された動的更新を構成します。
ただし、トップレベルおよびルートのゾーンについては動的更新を一切許可しません。ところで、そう言えば半年間DNSに触っていませんでしたので、過去を見ていましたら3月にryさんから
教えてもらっていました。それは
コード:
2010-03-23 15:55:15
hotohoto
Re: rndc を止めたい
・named.conf、named.conf.options、named.conf.local ファイルの
controls { ... } の inet .... に keys { ... } を書かない
・rndc.conf ファイルに options {...} とか server ... {...} を書かない
なるほど、 rndc.confの設定を変更することが抜けていました。
インストールした直後の bind9 は rndc に鍵を要求しない設定になっています
意識して鍵を要求させるように設定しなければ rndc は鍵を使用しません
それに決定しよっと
#7 による投稿:
「1つのnamed.conf だけ」にするような最小の構成で、bind が読み込む設定ファイルは実は named.conf ただ一つだけです
ですよね。include 使うとかえって分りにくい。
ubuntu で推奨されている named.conf.options や named.conf.local などのファイルは、
この named.conf の中で読み込むように指定されているだけです
例)
include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
include "/etc/bind/named.conf.default-zones";
これらの行を削除して named.conf.options や named.conf.local などを読み込まないようにするなど、
named.conf を好きなように弄っても何ら不都合はありません
それで行こうかと思います。
ただし、bind9 をアップデートするときに named.conf が上書きされる
可能性があることには十分注意しなくてはなりません
分りました。というもので回答を貰っていました。
この中で
ry による投稿:
「1つのnamed.conf だけ」にするような最小の構成で、bind が読み込む設定ファイルは実は named.conf ただ一つだけです
というところをよく覚えていて、「最悪のこの設定ファイル一つでも良いのね」と勘違いしたかもしれません。
それで今回、一つの設定ファイルのこだわったような質問したという経緯も部分もあります。
これについては私の早とちりでしょう。
ryさんのおっしゃる
「最小の構成で、bind が読み込む設定ファイルは named.conf ただ一つ」
というところと
「近代的なコマンドを使うべき」
とは矛盾しませんか?
私の今の理解では、上記は技術的にそうなだけで、実際は下段の方を採用する。
というふうになりますがこれで良いでしょうか?
オフライン
#15 2010-08-16 17:28:01
- ry
- メンバ
- 登録日: 2008-07-30
Re: DNS で作動せず db.root あるのに not found となり、fail する
全く以て矛盾しません
セキュリティを高めるために「近代的なコマンド」を使うべきであり、現時点の BIND9 では「近代的なコマンド」を使うか、OS やネットワーク環境を適切に設定するのどちらかをせずにセキュリティを高めることはできません
コマンドがいくつあっても、全てを使うことは希であり、実際に使うのは限られた数だけでしかありません
「近代的なコマンド」もこれと同じで、その全てを使わなくてはいけないなどということではありません
オフライン
2007年10月11日以降の投稿は、クリエイティブ・コモンズ-表示-継承-3.0 (Cc-by-sa-3.0)で提供されます。
著作権等の他者の権利を不当に侵害するような投稿、特定の個人や団体などへの誹謗中傷を含む投稿、個人情報を含む投稿など、違法性のある投稿は行わないでください。
Ubuntu and Canonical are registered trademarks of Canonical Ltd.