IT pass HikiWiki - [Memo2024][ITPASS]bindのインストールと設定 Diff
- Added parts are displayed like this.
- Deleted parts are displayed
like this.
以下の記述において "OLD" は運用中のサーバ (現 ika) を表し,
"NEW" は構築中のサーバ (現 tako) を表す.
= 既にインストールされている Bind 関係のパッケージの削除
下のように bind 関係パッケージの名前を確認する.
sudo apt search bind9 | grep bind9
以下のようなメッセージが出る.
WARNING: apt does not have a stable CLI interface. Use with caution in scripts.
bind9/stable,stable-security 1:9.18.28-1~deb12u2 amd64
bind9-dev/stable,stable-security 1:9.18.28-1~deb12u2 amd64
bind9-dnsutils/stable,stable-security,now 1:9.18.28-1~deb12u2 amd64 [インストール済み]
bind9-doc/stable,stable-security 1:9.18.28-1~deb12u2 all
bind9-host/stable,stable-security,now 1:9.18.28-1~deb12u2 amd64 [インストール済み]
bind9-libs/stable,stable-security,now 1:9.18.28-1~deb12u2 amd64 [インストール済み、自動]
bind9-utils/stable,stable-security 1:9.18.28-1~deb12u2 amd64
bind9utils/stable,stable-security 1:9.18.28-1~deb12u2 all
Transitional package for bind9-utils
bind9-dnsutils への移行用パッケージ
次のコマンドでこれらのパッケージが実際にインストールされているかどうかを確認する.
# dpkg -l bind9 bind9-doc bind9-dyndb-ldap bind9-host bind9utils libbind9-161
dpkg-query: bind9 に一致するパッケージが見つかりません
dpkg-query: bind9-doc に一致するパッケージが見つかりません
dpkg-query: bind9-dyndb-ldap に一致するパッケージが見つかりません
dpkg-query: bind9utils に一致するパッケージが見つかりません
dpkg-query: libbind9-161 に一致するパッケージが見つかりません
要望=(U)不明/(I)インストール/(R)削除/(P)完全削除/(H)保持
| 状態=(N)無/(I)インストール済/(C)設定/(U)展開/(F)設定失敗/(H)半インストール/(W)トリガ待ち/(T)トリガ保留
|/ エラー?=(空欄)無/(R)要再インストール (状態,エラーの大文字=異常)
||/ 名前 バージョン アーキテクチ 説明
+++-==============-===================-============-=================================
ii bind9-host 1:9.18.28-1~deb12u2 amd64 DNS Lookup Utility
上記のようなメッセージが出る.
* 覚書
* 下記のように文字化けしたテキストが出る場合は, 文字コードを EUC-JP から UTF8 に変更する.
dpkg-query: bind9 �˰��פ���ѥå����������Ĥ���ޤ���
dpkg-query: bind9-doc �˰��פ���ѥå����������Ĥ���ޤ���
dpkg-query: bind9-dyndb-ldap �˰��פ���ѥå����������Ĥ���ޤ���
dpkg-query: bind9utils �˰��פ���ѥå����������Ĥ���ޤ���
dpkg-query: libbind9-161 �˰��פ���ѥå����������Ĥ���ޤ���
<CD><D7><CB><BE>=(U)<C9><D4><CC><C0>/(I)<A5><A4><A5><F3><A5><B9><A5><C8><A1><BC> >
| <BE><F5><C2><D6>=(N)<CC><B5>/(I)<A5><A4><A5><F3><A5><B9><A5><C8><A1><BC><A5><EB>>
|/ <A5><A8><A5><E9><A1><BC>?=(<B6><F5><CD><F3>)<CC><B5>/(R)<CD><D7><BA><C6><A5><A4>
||/ <CC><BE><C1><B0> <A5><D0><A1><BC><A5><B8><A5><E7><A5><F3> >
+++-==============-===================-============-==============================>
ii bind9-host 1:9.16.33-1~deb11u1 amd64 DNS Lookup Utility
# LANG=ja_JP.UTF8 で文字コードを変更する.
* 再度パッケージを確認する.
dpkg-query: no packages found matching bind9
dpkg-query: no packages found matching bind9-doc
dpkg-query: no packages found matching bind9-dyndb-ldap
dpkg-query: no packages found matching bind9utils
dpkg-query: no packages found matching libbind9-161
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name Version Architecture Description
+++-==============-===================-============-==============================>
ii bind9-host 1:9.16.33-1~deb11u1 amd64 DNS Lookup Utility
左端に ii と表示されればインストールされている.
インストールされている場合には, それらを削除する.
# apt remove bind9-host
apt-listchanges: Can't set locale; make sure $LC_* and $LANG are correct!
perl: warning: Setting locale failed.
perl: warning: Please check that your locale settings:
LANGUAGE = (unset),
LC_ALL = (unset),
LANG = "jp_JP.UTF8"
are supported and installed on your system.
perl: warning: Falling back to the standard locale ("C").
locale: Cannot set LC_CTYPE to default locale: No such file or directory
locale: Cannot set LC_MESSAGES to default locale: No such file or directory
locale: Cannot set LC_ALL to default locale: No such file or directory
(Reading database ... 192528 files and directories currently installed.)
Removing libnss-mdns:amd64 (0.14.1-2) ...
Removing gnome (1:3.38+3) ...
Removing bind9-dnsutils (1:9.16.33-1~deb11u1) ...
Removing task-gnome-desktop (3.68+deb11u1) ...
Removing ipp-usb (0.9.17-3+b4) ...
Removing gnome-core (1:3.38+3) ...
Removing gnome-user-share (3.34.0-2) ...
Removing libapache2-mod-dnssd (0.6-3.2) ...
Removing avahi-daemon (0.8-5+deb11u1) ...
Created symlink /run/systemd/system/avahi-daemon.service → /dev/null.
Removed /run/systemd/system/avahi-daemon.service.
Removing bind9-host (1:9.16.33-1~deb11u1) ...
Processing triggers for gnome-menus (3.36.0-1) ...
Processing triggers for libglib2.0-0:amd64 (2.66.8-1) ...
Processing triggers for libc-bin (2.31-13+deb11u4) ...
Processing triggers for man-db (2.9.4-2) ...
Processing triggers for dbus (1.12.24-0+deb11u1) ...
Processing triggers for mailcap (3.69) ...
Processing triggers for desktop-file-utils (0.26-1) ...
2022 年度のサーバ再構築では, 依存関係によって gnome がアンインストールされてしまった. xeyes がスーパーユーザーでは起動しなかったが, 一般ユーザーで行うと起動したため良いこととした.
= ビルドとインストール
* 配布サイト ((<URL:https://www.isc.org/>)) からソースのアーカイブを
取得し, ビルドする.
* 2024 年度サーバ再構築時には最新のバージョン (9.21.2) を取得した.
* 以下のバージョン番号は適宜最新のものに読み替えること
* インストール先は /usr/local/bind とする.
# cd /usr/local/src
# wget https://downloads.isc.org/isc/bind9/9.16.34/bind-9.21.2.tar.xz
# tar xvf bind-9.21.2.tar.xz
# cd bind-9.21.2
# mkdir /usr/local/bind
# ./configure --prefix=/usr/local/bind
# make
* make 実行時に Makefile が存在せず, 実行できなかった.
* 1 つ前の./configure --prefix=/usr/local/bind を実行する際に以下のエラーが出た.
> configure: error: Package requirements (liburcu >= 0.10.0 liburcu-cds >= 0.10.0) were not met:
* liburcu パッケージがインストールされていなかったため, liburcu の文字列を含む利用可能なパッケージ (liburcu-dev, liburcu8 パッケージ) を検索し, インストールした.
# apt search liburcu
# install liburcu-dev
# install liburcu8
* 再度 configure を実行したところ, 以下のエラーが出た.
> configure: error: DNS-over-HTTPS support requested, but libnghttp2 not found. Either install libnghttp2 or use --disable-doh.
* apt search libnghttp2 で検索して出てきた, libnghttp2-14(インストール済み)以外の libnghttp2-dev, libnghttp2-doc, librust-curl-sys+http2-dev, librust-libnghttp2-sys-dev をインストールした.
* この状態で再度 configure を行なったところ, エラーメッセージも出ずに make も実行できた.
(以下覚書)
* 配布サイトからアーカイブを取得できない場合は, OLD からソースをコピーしてビルドする
* ビルドの際に OpenSSL についての警告が出た場合は以下を参照すること
* OpenSSL のバージョンが古いと, セキュリティ脆弱性があると警告が出る
* Debian の場合はバージョン番号が古いままでもセキュリティパッチは当たっているので, オプションに --disable-openssl-version-check を指定して
バージョンの確認を無効にする
* 具体的に修正された脆弱性一覧は ((<URL:http://www.debian.org/security/>)) にある
* openssl が debian パッケージであれば, /usr/share/doc/openssl 以下にある changelog.gz の中身から, パッチが当てられているか確認することができる
# ./configure --prefix=/usr/local/bind --disable-openssl-version-check
# make
* インストール
Bind をインストールする.
# make install
* make コマンドが見つからない場合にはインストールする.
# apt install make
* 再度, 上記コマンドを実行した後, ' fatal error : openssl/evp.h: そのようなファイルやディレクトリはありません' とエラーが出るかもしれない. そのときには, libssl-dev をインストールし, 再度, 上記コマンドを実行する.
* 再度, ' ./configure --prefix=/usr/local/bind ' を実行した後, 以下のようなエラーメッセージが出た場合, それに応じたコンパイラやライブラリをインストールする
* C 言語のコンパイラ
configure: error: in `/usr/local/src/bind-9.16.21':
configure: error: no acceptable C compiler found in $PATH
# apt install gcc
* Pyhton 及び python-ply
configure: error: Python >= 2.7 or >= 3.2 and the PLY package are required for dnssec-keymgr and other Python-based tools. PLY may be available from your OS package manager as python-ply or python3-ply; it can also be installed via pip. To build without Python/PLY, use --without-python.
# apt install python
# apt install python-ply
* libuv
configure: error: libuv not found
# apt install libuv1-dev
* libssl
configure: error: in `/usr/local/src/bind-9.16.21':
configure: error: OpenSSL/LibreSSL not found
See `config.log' for more details
# apt install libssl-dev
* libcap
configure: error: sys/capability.h header is required for Linux capabilities support. Either install libcap or use --disable-linux-caps.
# apt install libcap-dev
= 実行ファイルへのパスの設定
インストールされた Bind の実行ファイル群へパスを通す.
((<[ITPASS2021]パスの設定>))を参考にして各設定ファイルに以下の様に追記する.
== sh, bash
/etc/bash.bashrc の末尾に以下を追記する.
# add PATH for local installed softwares
PATH="${PATH}:/usr/local/bind/bin"
# add PATH for local installed softwares (for root)
if [ "`id -u`" -eq 0 ]; then
PATH="${PATH}:/usr/local/bind/sbin"
fi
== csh, tcsh
* 覚書
* /etc/csh.cshrc がない場合は, csh をインストールする.
* csh をインストールしても /etc/csh.cshrc がない場合は, これを新たに作成し, 追記する .
/etc/csh.cshrc の末尾に以下を追記する.
# add PATH for local installed softwares
set path = ($path /usr/local/bin /usr/bin /bin /usr/local/bind/bin)
# add PATH for local installed softwares (for root)
if ( "`id -u`" == 0 ) then
set path = ($path /usr/local/sbin /usr/sbin /sbin /usr/local/bind/sbin)
endif
== zsh
/etc/zsh/zshenv の末尾に以下を追記する.
# add PATH for local installed softwares
export PATH="$PATH:/usr/local/bind/bin"
# add PATH for local installed softwares (for root)
if [ "`id -u`" -eq 0 ]; then
export PATH="$PATH:/usr/local/bind/sbin"
fi
= マニュアルへのパスの設定
/etc/manpath.config に以下の行を追加する. 詳しくは ((<[ITPASS2018]パスの設定>)) の 「man 関連のパスの設定」を参照.
/etc/manpath.config に末尾に以下の行を追記する.
MANDATORY_MANPATH /usr/local/bind/man
MANPATH_MAP /usr/local/bind/bin /usr/local/bind/man
MANPATH_MAP /usr/local/bind/sbin /usr/local/bind/man
MANDB_MAP /usr/local/bind/man /usr/local/bind/man
= ユーザとグループ追加
* Bind の実行ユーザとして bind ユーザを作成
bind ユーザを作成する.
なお, 下に示すのは 2024 年サーバ再構築時の情報である.
/etc/passwd,/etc/group を確認して他と重複しないユーザ, グループ id を適宜設定すること. 今回は 153 をユーザ, グループ id として設定した.
# export EDITOR=vi
* vipw を実行して以下の行を追加する.
bind:x:153:153:Bind Sandbox:/usr/local/bind/var:/bin/false
vipw がうまく終了できなかったため, cntl + z で vi を閉じた後, vipw を行うと以下のエラーが出た
vipw: Couldn't lock file: Interrupted system call
vipw: /etc/shadow is unchanged
jobs から vipw が実行されている ジョブ番号を確認し, fg コマンドでフォアグラウンドで開き, 正常に終了できた.
その後, vipw コマンドも正常に動いた.
vipw の代わりに以下のコマンドを書くと, vipw と同じ作業ができた
# vi /etc/passwd
* vipw -s を実行して以下の行を追加する.
bind:!:13749:0:99999:7:::
* 同様に bind グループを追加する.
* vigr を実行して以下の行を追加する.
bind:x:153:
* vigr -s を実行して以下の行を追加する.
bind:*::
= pid ファイル置場のパーミッション設定
pid ファイル置場である, /usr/local/bind/var/run/ を bind 所有にする.
# chown bind:bind /usr/local/bind/var/run/
ディレクトリが存在しない場合, 作成する.
# cd /usr/local/bind
# mkdir var
# cd var
# mkdir run
= 各設定ファイルの編集
== named.conf
* OLD の /usr/local/bind/etc/namedb/named.conf を NEW の /usr/local/bind/etc/namedb/ にコピーした.
* ただし NEW に namedb というディレクトリが無いならば, namedb を作成する.
# cd /usr/local/bind/etc
# mkdir namedb
* ファイルが下の内容であることを確認する.
acl my-network {
133.30.109.0/25;
10.35.19.0/24;
127.0.0.1;
};
options {
dump-file "/usr/local/bind/etc/cache_dump.db";
directory "/usr/local/bind/etc/namedb";
pid-file "/usr/local/bind/var/run/named.pid";
recursion yes;
allow-query { "my-network"; };
};
zone "." {
type hint;
file "named.root";
};
zone "localhost" {
type master;
file "localhost.zone";
};
zone "0.0.127.in-addr.arpa" {
type master;
file "localhost.rev";
};
controls {
inet 127.0.0.1 port 953
allow { 127.0.0.1; } keys { "rndc-key"; };
};
logging {
channel "default-log" {
file "/var/log/named/default.log" versions 5 size 10M;
severity info;
print-time yes;
print-severity yes;
print-category yes;
};
category default { "default-log"; };
};
include "/usr/local/bind/etc/rndc.key";
== localhost.zone
* OLD の /usr/local/bind/etc/namedb/localhost.zone を NEW の /usr/local/bind/etc/namedb/ にコピーする.
* ファイル内の "OLD" (=ika) という記述を "NEW" (=tako) に変更する.
* Serial には作業当日の日付と更新回数 (2 桁) を記述する.
* 書き換え後のファイルの中身は下記の通り.
$TTL 3600
@ IN SOA tako-itpass.scitec.kobe-u.ac.jp. itpadmin.tako-itpass.scitec.kobe-u.ac.jp. (
2024102500 ; Serial
3600 ; Refresh
900 ; Retry
3600000 ; Expire
3600 ) ; Minimum
IN NS tako-itpass.scitec.kobe-u.ac.jp.
IN A 127.0.0.1
IN TXT "google-site-verification=rz7TnXjgCsYoCg9COGvWfdpD-FeVURWrg2jkrU-maMM"
* OLD の /usr/local/bind/etc/namedb/localhost.rev を NEW の /usr/local/bind/etc/namedb/ にコピーする.
* ファイル内の "OLD" (=ika) という記述を "NEW" (=tako) に変更する.
* Serial には作業当日の日付と更新回数 (2 桁) を記述する.
* 書き換え後のファイルの中身は下記の通り.
$TTL 3600
@ IN SOA tako-itpass.scitec.kobe-u.ac.jp. itpadmin.tako-itpass.scitec.kobe-u.ac.jp. (
2024102500 ; Serial
3600 ; Refresh
900 ; Retry
3600000 ; Expire
3600 ) ; Minimum
IN NS tako-itpass.scitec.kobe-u.ac.jp.
1 IN PTR localhost.scitec.kobe-u.ac.jp.
== named.root
* 最新のものを ((<URL:ftp://rs.internic.net/domain/named.root>)) からダウンロードし, /usr/local/bind/etc/namedb/ に named.root として保存する.
* 上記の URL が見つからない場合は http://www.internic.net/domain/ から name.root を取得する.
* 今回は ftp://rs.internic.net/domain/named.root から取得できた.
# wget ftp://rs.internic.net/domain/named.root
= rndc の設定
rndc コマンドは, named の再起動, config ファイルの読み直しなどを行うコマンドである.
rndc コマンドは, named への不正なアクセスを防ぐために秘密鍵を用いたアクセスを行うため, 設定が必要である.
* rndc-confgen を実行し, 必要な設定ファイルの「もと」を生成する.
* 実行時の出力を /usr/local/bind/etc/rndc.conf として保存する.
# /usr/local/bind/sbin/rndc-confgen > /usr/local/bind/etc/rndc.conf
* rndc.conf の中身は下記の通り.
* なお, 下の key の secret の項目は実際の値ではない. (その値は秘密鍵であり, ログにも記載しない. )
# Start of rndc.conf
key "rndc-key" {
algorithm hmac-sha256;
secret "hogehoge";
};
options {
default-key "rndc-key";
default-server 127.0.0.1;
default-port 953;
};
# End of rndc.conf
# Use with the following in named.conf, adjusting the allow list as needed:
# key "rndc-key" {
# algorithm hmac-sha256;
# secret "hogehoge";
# };
#
# controls {
# inet 127.0.0.1 port 953
# allow { 127.0.0.1; } keys { "rndc-key"; };
# };
# End of named.conf
* secret "hogehoge"; は認証に用いる共通鍵(パスワード)を表す. ここに挙げているのは例であって, 実際の設定とは異なる.
* 念のため, rndc.conf のコメントアウトされている箇所を削除する. 削除する.
* 生成した rndc-key の鍵の key ステートメントをコピーし, rndc.key (ファイル) に記述する.
# cp rndc.conf rndc.key
で全体をコピーしその後必要な箇所(key ステートメント) のみを残した.
* rndc.key の絶対パスは /usr/local/bind/etc/rndc.key である.
* rndc.key ファイルがなければ作成する.
* rndc.key ファイルの中身は以下の通り.
key "rndc-key" {
algorithm hmac-sha256;
secret "hogehoge";
};
* rndc.key の所有者を bind:bind に変更.
# chown bind:bind /usr/local/bind/etc/rndc.key
* rndc.key のパーミッションを 400 とした.
# chmod 400 /usr/local/bind/etc/rndc.key
= 編集したファイルのパーミッション設定
* 本来, bind 関連のファイルの所有グループは ITPASS サーバの管理者グループである itpadmin にするのだが, 現時点ではユーザ管理システム (gate-toroku-system) のインストールを行っていないため, 今回は仮に staff とした.
# cd /usr/local/bind/etc
# chgrp -R staff .
* 所有者やパーミッションは以下のように設定する.
# chmod 640 rndc.conf
# chown bind namedb/named.conf
# chmod 640 namedb/named.conf
= 起動テスト
以下のコマンドを実行し, bind の起動テストを行う.
# /usr/local/bind/sbin/named -u bind -c /usr/local/bind/etc/namedb/named.conf
* ps aux コマンドで走っていることを確認する.
# ps aux | grep bind
* このコマンドにより, 下のような行が表示されれば, bind が動作していることを示している.
bind 16558 0.0 0.1 318676 27204 ? Ssl 16:09 0:00 /usr/local/bind/sbin/named -u bind -c /usr/local/bind/etc/namedb/named.conf
* さらに, /var/log/syslog を見て, 起動したことを確認する.
以下で始まる行を確認する.
Oct 14 22:18:29 tako-itpass named[17048]:
* 起動に失敗したため, /var/log/syslog を確認したところのような表示がされた.
2024-10-25T02:26:05.822152+09:00 tako-itpass named[109929]: directory '/usr/local/bind/etc/namedb' is not writable
2024-10-25T02:26:05.822211+09:00 tako-itpass named[109929]: /usr/local/bind/etc/namedb/named.conf:9: parsing failed: permission denied
2024-10-25T02:26:05.822233+09:00 tako-itpass named[109929]: loading configuration: permission denied
2024-10-25T02:26:05.822255+09:00 tako-itpass named[109929]: exiting (due to fatal error)
* 2021, 2022 年度のサーバ再構築時に起動に失敗したときには下のようにして対処した.
* 2024 年度のサーバ再構築時も, 同様にパーミッションの変更とディレクトリの作成で対処した.
* /usr/local/bind/etc/namedb ディレクトリの所有者を bind に変更.
# chown bind /usr/local/bind/etc/namedb
* さらに /var/log/named ディレクトリがなかったので, 作成.
# mkdir /var/log/named
# chown bind:bind /var/log/named
* 再度, 起動テストを行い, 起動したことを確認した.
* 覚書
* managed-keys-zone に関するエラーが出るかもしれない. その際には /usr/local/bind/etc/namedb の下に,managed-keys.bind という空のファイルを作成する.
# cd /usr/local/bind/etc/namedb
# touch managed-keys.bind
= rndc のテスト
以下のコマンドを実行する.
# cd /usr/local/bind/sbin
# ./rndc reload
すると警告文が表示されたが
WARNING: key file (/usr/local/bind/etc/rndc.key) exists, but using default configuration file (/usr/local/bind/etc/rndc.conf)
server reload successful
server reload succeseful とも表示されたので先に進んだ.
# 2018 年度サーバ再構築時には,
# WARNING: key file (/usr/local/bind/etc/rndc.key) exists, but using default configuration file (/usr/local/bind/etc/rndc.conf)
#
#と表示されたが, server reload successful と表示されたので先に進む. rndc.key は不要なのかもしれない.
= ファイルフォーマットのチェック
named.conf やゾーンの整合性を確認する.
* named.conf の確認
# cd /usr/local/bind/sbin
# ./named-checkconf /usr/local/bind/etc/namedb/named.conf
* この時, 『bash: ./named-checkconf: そのようなファイルやディレクトリはありません』というエラーメッセージが出たため, sbin を bin にして実行し直した.
何も出力されなければ正常である.
* ゾーンの確認
# cd /usr/local/bind/etc/namedb
# ../../sbin/named-checkzone localhost localhost.zone
* named.conf と同様に, sbin から bin に変えて実行した.
以下のように表示され, 正常であることを確認する.
zone localhost/IN: loaded serial 2022102000
OK
* ひとまず停止
ひとまず named を停止する.
例えば下のように,
ps aux で PID を調べる.
# ps aux | grep bind
bind 117221 0.0 0.0 1022320 24712 ? Ssl 14:12 0:00 /usr/local/bind/sbin/named -u bind -c
/usr/local/bind/etc/namedb/named.conf
chikuwa4 117578 0.0 0.0 5504 2244 pts/0 S+ 14:40 0:00 grep bind
kill で停止する.
# kill 117221
= フルサービスリゾルバへ変更
NEW をフルサービスリゾルバにするために, ((<[ITPASS2024]OSのインストール>))で設定した DNS サーバを学術情報基盤センターから NEW 自身に変更する.
((*(注意)*))
/etc/resolv.conf を直接書き換えても, ネットワークの起動時に /etc/network/interfaces に書かれた設定で上書きされるため, /etc/resolv.conf ではなく /etc/network/interfaces を編集すること.
/etc/network/interfaces の dns-nameservers の項目を下のように書き換える.
# dns-nameservers 133.30.14.2 133.30.14.3 133.30.8.2
dns-nameservers 133.30.109.21
* 名前解決できるかを確認する.
bind によって正しく名前解決されるか確認する.
# /usr/local/bind/sbin/named -u bind -c /usr/local/bind/etc/namedb/named.conf
$ /usr/local/bind/bin/dig @133.30.109.21 www.google.com
下のように表示された.
; <<>> DiG 9.21.2 <<>> @133.30.109.21 www.google.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 25289
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 5aac73407b29999d01000000671b30926350cb64831b35f1 (good)
;; QUESTION SECTION:
;www.google.com. IN A
;; Query time: 119 msec
;; SERVER: 133.30.109.21#53(133.30.109.21) (UDP)
;; WHEN: Fri Oct 25 14:45:54 JST 2024
;; MSG SIZE rcvd: 71
* ログを確認する.
# lv /var/log/named/default.log
* より詳しいログを出力するためには,/usr/local/bind/etc/namedb/named.conf 内の "info" (下記に記載) を"debug" に変更すればよい(一度変えてみて, 確認してみるとよい).ただし, ログファイルのサイズを節約するために, "info" にする.
logging {
channel "default-log" {
file "/var/log/named/default.log" versions 5 size 10M;
severity info;
print-time yes;
print-severity yes;
print-category yes;
};
2018 年度, 2020 年度, 2022 年度, サーバ再構築時には,
以下のようなログが大量に残されていた. このようなログは IPv6 対応だが IPv6 で外部と通信出来ない時に良く出るらしい.
14-Oct-2020 22:34:17.652 lame-servers: info: network unreachable resolving 'google.com/DS/IN': 2001:503:d2d::30#53
14-Oct-2020 22:34:17.652 lame-servers: info: network unreachable resolving 'google.com/DS/IN': 2001:503:83eb::30#53
14-Oct-2020 22:34:17.652 lame-servers: info: network unreachable resolving 'google.com/DS/IN': 2001:501:b1f9::30#53
2024 年度のサーバ再構築でも上記のようなログが確認できた.
25-Oct-2024 14:54:30.035 lame-servers: info: network unreachable resolving 'google.com/NS/IN': 2001:503:a83e::2:30#53
25-Oct-2024 14:54:30.035 lame-servers: info: network unreachable resolving 'google.com/NS/IN': 2001:503:231d::2:30#53
25-Oct-2024 14:54:30.035 lame-servers: info: network unreachable resolving 'google.com/NS/IN': 2001:502:7094::30#53
named の起動時に -4 オプションを付けると上記のメッセージは出なくなる.
(IPv4 専用モードで起動するため.)
= 起動スクリプトの用意
* サーバの起動時に自動的に Bind を起動させるための起動スクリプトを用意する.
* OLD の /etc/systemd/system/bind9.service をコピーして NEW の /etc/systemd/system/bind9.service とする.
bind9.service の中身は以下の通り.
[Unit]
Description=BIND Domain Name Server
Documentation=man:named(8)
After=network.target
[Service]
ExecStart=/usr/local/bind/sbin/named -4 -f -u bind -c /usr/local/bind/etc/namedb/named.conf
ExecReload=/usr/local/bind/sbin/rndc reload
ExecStop=/usr/local/bind/sbin/rndc stop
[Install]
WantedBy=multi-user.target
* named が立ち上がっていた場合は停止する.
* ps aux で PID を確認して kill する.
* bind9.service の起動テストを行う.
# systemctl start bind9.service
* bind9.service 起動の確認する.
# systemctl status bind9.service
* bind の動作を確認.
$ /usr/local/bind/bin/dig @133.30.109.21 www.google.com
* システム起動時に自動的に bind が立ち上がるようにするために追加設定する.
# systemctl enable bind9.service
* 出てくるメッセージ
Created symlink /etc/systemd/system/multi-user.target.wants/bind9.service → /etc/systemd/system/bind9.service.
* システム起動時に自動的に bind が立ち上がることを確認するために NEW を再起動する.
# reboot
* 再起動後に, systemctl での起動していることを確認する.
# systemctl status bind9.service
* 上の方法に基づいて名前解決できるかを改めて確認する.
$ /usr/local/bind/bin/dig @133.30.109.21 www.google.com
= 最後の作業
このままの設定では, 何らかの原因で new を DNS サーバとして参照してしまうと NEW が itpass.scitec.kobe-u.ac.jp であるとなりすましてしまう不具合が発生するので, DNS サーバは ITPASS サーバ交代の時まで停止する.
* システム起動時に自動的に bind が立ち上がらないようにする.
# systemctl disable bind9.service
* なお, これだけでは, 現在立ち上がっている bind はまだ動いている. これを止めるには, shutdown するか, systemctl stop bind9.service を実行する.
# systemctl stop bind9.service
また, DNS サーバを止めたので,
先ほど書き換えた /etc/network/interfaces の dns-nameservers の項目を下のように書き換える.
具体的には,
# dns-nameservers 133.30.14.2 133.30.14.3 133.30.8.2
dns-nameservers 133.30.109.21
を
dns-nameservers 133.30.14.2 133.30.14.3 133.30.8.2
# dns-nameservers 133.30.109.21
に書き換える.
* 再起動する.
* named が動いていないことを確認する.
# systemctl status bind9.service
* 名前が引けることを確認する.
* 下のようにして応答が返ってくれば問題ない.
$ ping dennou-k.gfd-dennou.org