rndc BIND DNS 設定 仕組み

Similar documents
rndc BIND

e164.arpa DNSSEC Version JPRS JPRS e164.arpa DNSSEC DNSSEC DNS DNSSEC (DNSSEC ) DNSSEC DNSSEC DNS ( ) % # (root)

BIND 9 BIND 9 IPv6 BIND 9 view lwres

jus.ppt

スマート署名(Smart signing) BIND 9.7での新機能

新しいDNSサーバ、 NSDの紹介

はじめに 1. 概要本書では SuitePRO V3 にて提供している迷惑メールフィルタのバージョンアップ手順について案内しています なお この手順につきましては 迷惑メールフィルタ機能について オンラインマニュアルの内容通りに設定されていることを前提条件とします

CLUSTERPRO MC StorageSaver istorage M シリーズ使用時の設定手順 (HP-UX 版 Linux 版 Windows 版 ) 2013(Sep) NEC Corporation istorage M シリーズを使用する場合の StorageSaver 設定手順 (H

DNS DNS(Domain Name System) named(bind), tinydns(djbdns), MicrosoftDNS(Windows), etc 3 2 (1) ( ) IP IP DNS 4

CLUSTERPRO MC StorageSaver istorage M シリーズ使用時の設定手順 (HP-UX 版 Linux 版 Windows 版 ) 2013(Apr) NEC Corporation istorage M シリーズを使用する場合の StorageSaver 設定手順 (H

はしがき 本書は CLUSTERPRO MC ProcessSaver 1.0 for Linux ( 以後 ProcessSaver と記載します ) に よるプロセス監視の基本的な動作について記載したものです (1) 商標および商標登録 Linux は Linus Torvalds 氏の米国およ

CLUSTERPRO MC RootDiskMonitor CLUSTERPRO MC StorageSaver for BootDisk 仮想環境 ( ゲスト OS) での設定手順 (Linux 版 Windows 版 ) 2017(Apr) NEC Corporation 仮想環境 ( ゲスト

情報処理概論(第二日目)

Microsoft PowerPoint - private-dnssec

2 フルサービスリゾルバ スタブリゾルバ からリクエストを 受け取る フルサービスリゾルバは権威ネームサーバに 対して反復復的に 問い合わせを 行行う ルートゾーンの権威サーバ スタブリゾルバ の IP アドレスを教えて? の IP アドレ

Troubleshooting SSH connections with Reflection X

目次 1. 動作環境チェック 動作必要環境 Java のインストール Java のインストール Firebird のインストール Firebird のインストール Adobe Reader のインストール

untitled

目次 1 本マニュアルについて 設定手順 (BIND 9 利用 ) 設定例の環境 設定例のファイル構成 named.conf の設定例 逆引きゾーンの設定例 動作確認 ( ゾーン転送 )

平成22年度「技報」原稿の執筆について

スライド 1

ProScan for Mailserverバージョン6

LEAP を使用して Cisco ワイヤレス クライアントを認証するための Funk RADIUS の設定

ssh

DNSを「きちんと」設定しよう

2013年『STSSスキルコミュニティ』 テーマ別Kickoff資料

提案書タイトルサブタイトルなし(32ポイント)

HULFT の通信をよりセキュアに HULFT と SSH Tectia を組み合わせたセキュアで強力なファイル転送 Compatibility Note 2008 年 9 月 株式会社セゾン情報システムズの企業内 企業間通信ミドルウェアである HULFT は ファイル転送のアプリケーションとして

情報処理概論(第二日目)

Microsoft Word - WE-InstMan382J sol.doc

DNS (BIND, djbdns) JPNIC・JPCERT/CC Security Seminar 2005

目次 1 環境 バージョン インストール環境 インストール手順 前提条件 CentOS SSHD の設定 VSFTPD の設定 コンテンツ管理 CGI のイ

k_seminar_hands_on_for_linux_beginner.pptx

最も一般的な手法: ファイアウォールによってノード間の MPI 通信がブロックされた場合の対応方法

Maple 12 Windows版シングルユーザ/ネットワークライセンス

2.

BIND9.9から9.11へ移行のポイント(権威DNSサーバー編)

LPI-Japan セミナー資料 Sugimatsu Hidetoshi 10 Sep LPIC レベル 2 技術解説無料セミナー 今回のセミナーでは 次の 4 つの項目をテーマにして解説します 1. 出題範囲の把握 2. 受験対策 3. DNS サーバを構成する 4. NFS サーバを

Microsoft Word - SSI_Smart-Trading_QA_ja_ doc

サーバーで安全な設定とは 正しい情報を正しく提供する 不確かな情報を提供したりしない ( 安全というより正しい設定 ) サービス経由で侵入されない 万が一侵入されても被害を最小限にする 2

IPM Release 2.6 へのアップグ レード

SVF Ver 環境設定 パッチについて

WebOTXプロファイラを使用したメモリリーク調査方法

Red Hat Enterprise Linuxのcron(8)デーモンにデフォルト定義されたtmpwatch命令の動作による、WebOTXのトラブル対処方法

SystemDirector Developer's Studio(V3.2) 適用ガイド

管理アカウントの TACACS+ 認証をサポートするための Cisco VPN 3000 コンセントレータの設定方法

030717kuri.txt - メモ帳

PSIM(Ver10 & Ver11) HASP キートラブルシューティングガイド PSIM (Ver10 & Ver11)HASP キートラブルシューティングガイド Doc A2-057C 1/11 Myway プラス株式会社

情報処理概論(第二日目)

SLAMD導入手順

CLAIM接続利用手順

正 )mount してから利用し 最後に umount します P105-5の下 IP アドレスの注誤 ) IP ア / ブロードキャスト / マスク正 ) IP アドレス / ブロードキャスト / マスク 第 7 日 P 節番号誤 )2.2.1 h2n のパッケージの準備.

任意の間隔での FTP 画像送信イベントの設定方法 はじめに 本ドキュメントでは AXIS ネットワークカメラ / ビデオエンコーダにおいて任意の間隔で画像を FTP サー バーへ送信するイベントの設定手順を説明します 設定手順手順 1:AXIS ネットワークカメラ / ビデオエンコーダの設定ページ

CLAIM接続利用手順

第 4 章ファイル共有 NFS の構成 NFS(Network File System) は ネットワーク上でファイル共有を提供する仕組みです 主に Linux-Linux 間や Linux-UNIX 間で使用されます NFS サーバーが公開 ( エクスポート ) したディレクトリを N

_01 日医標準レセプトソフトクラウド版 CLAIM 接続利用手順 ベンダー向け 2017 年 8 月 23 日 日本医師会 ORCA 管理機構株式会社

PowerPoint Presentation

DNS(BIND9) BIND9.x のエラーをまとめたものです エラーと原因 ジオシティーズ容量大幅アップ セキュリティならお任せ! マイクロソフト 少ない初期導入コストで クラウド環境を構築! Ads by Yahoo!JAPAN 主にゾーン転送に関するエラー

Microsoft Word - VPN...[.U.K.C.hLinux doc

PostgreSQL Plus 管理者ガイド

zabbix エージェント インストールマニュアル [Windows Server] 第 1.2 版 2018 年 05 月 18 日 青い森クラウドベース株式会社

改版履歴 本書の改版履歴は以下のとおりです 日付 改版理由 変更箇所 版数 2014/09/04 初版発行 版 2015/03/30 第 1.1 版に改訂 対象 OS 追加 1.1 版 2015/07/10 第 1.2 版に改訂 対象 OS 追加 1.2 版 2015/09/04 第 1

SRX License

パスワード暗号化の設定

OpenAM 9.5 インストールガイド オープンソース ソリューション テクノロジ ( 株 ) 更新日 : 2013 年 7 月 19 日 リビジョン : 1.8

untitled

ライセンス運用マニュアル ムラタソフトウェア株式会社 All Rights Reserved, Copyright c Murata Software Co., Ltd. 2019/2/14 1

Microsoft PowerPoint - InfPro_I6.pptx

Microsoft Word - ModelAnalys操作マニュアル_

はしがき 本書は CLUSTERPRO MC ProcessSaver 1.0 for Linux ( 以後 ProcessSaver と記載します ) と CLUSTERPRO X 3.1 for Linux ( 以後 CLUSTERPRO と記載します ) を組み合わせて フェイルオーバクラスタ

Microsoft Word - ManagerIPChange.doc

Linkexpress トラブル初期調査資料 採取コマンド使用手引書

はじめに このドキュメントではftServerに関する障害調査を行う際に 必要となるログ データの取得方法を説明しています ログ データの取得には 初期解析用のデータの取得方法と 詳細な調査を行うときのデータ取得方法があります 特別な理由でOS 側のログが必要となった場合には RHELログの取得につ

Calpont InfiniDBマルチUM同期ガイド

MxLogonサーバサイドツールキット用UI

Microsoft PowerPoint - IW2011-D1_simamura [互換モード]

untitled

ソフトウェアエンジニアリング - 機能 #54

Linux サーバー構築 LINUX サーバー構築目次... 1 第 1 章 LINUX のインストール... 6 第 1 節 CentOS とは... 6 第 1 項 CentOS とは... 6 第 2 節 CentOS インストールの準備... 6 第 1 項 iso ファイルの入手... 6

5. sendmail.cf

CLUSTERPRO MC ProcessSaver 1.0 for Windows ユーザーズガイド ( コマンド編 ) 2012(Sep) NEC Corporation はじめに コマンドリファレンス メッセージ一覧

2. Save をクリックします 3. System Options - Network - TCP/IP - Advanced を開き Primary DNS server と Secondary DNS Server に AXIS ネットワークカメラ / ビデオエンコーダが参照できる DNS サ

INR-HG5579a_Netshut_Guide_Linux-Solaris_.doc

DNSのセキュリティとDNSに関する技術

CLUSTERPRO MC ProcessSaver for Linux クイックリファレンス 第 1 版 2016 年 3 月 日本電気株式会社

パスワード暗号化の設定

DNSSEC運用技術SWG活動報告

改版履歴 版数改版内容 新規作成 Page 1

マニュアル訂正連絡票

Upload path ファイル送信先ディレクトリのパスを指定します ホームディレクトリに画像を送信する場合は空白のまま サブディレクトリに画像を送信する場合はディレクトリ名を指定します さらに下位のディレクトリを指定する場合は \ マークを利用します 例 ) ホームディレクトリ以下の camera

Upload path ファイル送信先ディレクトリのパスを指定します ホームディレクトリに画像を送信する場合は空白のまま サブディレクトリに画像を送信する場合はディレクトリ名を指定します さらに下位のディレクトリを指定する場合は \ マークを利用します 例 ) ホームディレクトリ以下の camera

ロードバランサー配下のシボレス IdP 環境設定に関する検証実験 2009 年 12 月 22 日国立情報学研究所学術ネットワーク研究開発センター山地一禎, 中村素典

目次 1 はじめに 2 pfile の設定パラメータ (1) 基本パラメータ (2) オプションパラメータ 3 再起動スクリプトの記述方法 4 pcheck の起動 停止 (1) コマンドラインからの起動 (2) rc からの起動 5 運用管理 (1) 監視の一時停止 再開コマンド (2) 監視状態

DNSSEC性能確認手順書v1.2

CLUSTERPRO MC ProcessSaver 2.2 for Linux 構築ガイド 2017(Oct) NEC Corporation 責任範囲 適用範囲 概要 事前準備 クラスター設定 動作確認

PowerPoint Presentation

上位 DNS の設定 YaST > Network Device > Network Card > HostName and DNS Server を開き DNS サーバとなる自分自身と上位となる ( プロバイダの指定 あるいは社内のマスター )DNS サーバを確認します この結果は /etc/re

日医特定健康診査システム ORCA PROJECT Linux 対応版インストールマニュアル (Version 対応 ) Debian Etch 用 版 2008 年 10 月 31 日 Copyright (C) 2008 Japan Medical Association

Transcription:

rndc ローカル上 またはリモート上にある BIND9 を制御するツール主に 設定の再読み込み named サービスの停止 ( 起動はできない ) 統計情報の表示 キャッシュのクリアなどのために使用する rndc の仕組仕組み rndc コマンドを実行する端末は 同じ端末 ( サーバ ) 上の named サービス または外部のサーバ上の named サービスの制御をすることができる rndc の設定 rndc を利用するためには rndc コマンドを実行する側と BIND サービスが実行されている側の双方で設定が必要になる設定をする際に 両者で利用する共通鍵が必要となるので まずは共通鍵を作成する 1 共通鍵の作成 /.keyがデフォルトで存在する場合は そこに記述された共通鍵を利用しても良い新しく共通鍵を作成したい場合は 共通鍵を作成するBIND 付属のrndc-confgenコマンドを使用する ( 他にもdnssec-keygenがあるが ここでは割愛 ) 作成した共通鍵は 2や3で使用する [ 書式 rndc-confgen オプション [ 主なオプション -a 共通鍵を新しく作成するデフォルトでは /.keyに出力 -b ビット数 共通鍵の鍵の長さ ( ビット数単位 ) 省略時のデフォルトは128bit 512bit 推奨 -c 出力ファイル名 省略時は /.keyで作成されるが 別のファイル名としたい場合に使用する -k 共通鍵名 共通鍵名の指定 -t chrootディレクトリ chrootディレクトリ配下にもファイルを出力したい場合 -u ユーザ名 chrootディレクトリ配下に出力したファイルの所有者を指定したい場合 [ 設定例 # rndc-confgen -a -b 512 -k rndctest -cオプション省略時は/.keyに出力 ( 既存の /.keyがあれば上書きされる) 鍵の長さは推奨の512bitを指定 # more /.key 確認 key "rndctest" { secret "Ey/2YxEvsIiJ5WwQWzdlDAZ5L1ICSShC6e1QNdQ1 h5jgthmij608ovd38ge7br/nfe0wnkk1oub/ykm63fg16a=="; # ls -l /.key アクセス権は root のみ読み込み可になっている -r-------- 1 root root 141 4 月 23 0358 /.key [ 参考 # rndc-confgen -a -b 512 -c /.key.test オプションの検証のため 適当に設定してみた -k keytestdesu -t /var/named/chroot -u named # ls -l /* -cオプションを使うと既存の/.keyを上書きすること -r-------- 1 root root 113 4 月 13 1103 /.key はない -rw------- 1 root root 144 4 月 23 0345 /.key.test ( なぜか ) アクセス権は読み書き可になっている # ls -l /var/named/chroot/.key.test chroot 配下にも同じものが作成される -rw------- 1 named root 144 4 月 23 0345 /var/named/chroot/.key.test -uオプションはchroot 配下のファイルに影響している

2 rndc コマンドを実行実行するする側の設定 rndcコマンドは rndcコマンドを実行する端末上の /.confまたは/.keyをデフォルトで参照している最初に /.confを参照し ファイルがない場合は /.keyを参照するよって /.confの設定が誤っている場合は /.keyが存在していてもrndcに失敗する /.conf にするのか /.key にするのかは自由だが リモート上にある BIND を制御する場合は /.conf でなければならない ( server ステートメントで外部の named サーバを指定するため ) ローカル上の named サービスを制御する場合は どちらのファイルでも良い 通常 rndc コマンドの使用は root 権限を持ったユーザのみに制限するので ファイルのアクセス権を root のみ読み込みができるように変更をする rndc 実行時のオプションを使うことにより /.conf または /.key 以外のファイルを使用することもできる rndc が読み込むファイルファイルの順序 各ファイルファイルで使用使用するするステートメント /.conf optionsステートメントデフォルトで使用する共有鍵名と相手のホスト名を指定する serverステートメントデフォルトで指定した相手以外に対してもrndcを実行したい場合は serverステートメントを使用して その相手のホスト名と使用する共有鍵名を指定する serverステートメントを省略した場合は optionsで指定したデフォルトを対象とする keyステートメント共有鍵の設定 /.key key ステートメント 共有鍵の設定 各ファイルファイルでのでの書式 [ /.confの書式 options { default-server デフォルトの相手となるホスト名 ; default-key " デフォルトで使用する共通鍵名 "; options ステートメントは必須 server rndcの対象となるホスト名 { serverステートメントは任意 複数設定可能 key " 使用する共通鍵名 "; optionsステートメントで指定したデフォルト以外のサーバも rndcで制御したい場合に記述する key " 共通鍵名 " { keyステートメントは必須複数設定可能 options, serverステートメントで指定した共通鍵の設定 secret " ベース64でエンコードされた共通鍵 "; [ /.keyの書式 key " 共通鍵名 " { secret " ベース64でエンコードされた共通鍵 "; key ステートメントは必須

[ /etc / rndc.conf conf の場合場合の設定例 # vi /.conf rndc.confはないので 新規に作成する options { optionsステートメントは必須 default-server localhost; default-key "rndckey"; server localhost { key "rndckey"; secret "NWteQWyWZBsI6T9W3srJ7bTPg5 ju3to8rfzj0sd0y3sd9ca7lnxb4su9kxe7"; serverステートメントは任意左記の場合だと optionsと同じ内容なので省略しても問題ない key ステートメントは必須 # chmod 600 /.conf root しか読み込みができようにアクセス権を変更する # ls -l /.conf -r-------- 1 root root 217 4 月 7 1049 /.conf [ /etc / rndc.key の場合場合の設定例 # vi /.key secret "NWteQWyWZBsI6T9W3srJ7bTPg5 ju3to8rfzj0sd0y3sd9ca7lnxb4su9kxe7"; # ls -l /.key -r-------- 1 root root 217 4 月 7 1049 /.key key ステートメントは必須 root しか読み込みができようにアクセス権を変更する 3 named サービス側の設定 named.confファイルで rndcによる制御を許可する端末と使用する共通鍵の設定を行う namedサービス側が使用する共通鍵をincludeを使って 外部のファイルから読み込む場合 サービスを実行するユーザが読み込むことができればよい ステートメント keysステートメント controlsステートメント rndcを使う相手との間で使用する共通鍵の設定 controlsで指定した相手にあわせて複数設定可能 named.confにkeysステートメントを使ってキーを直接記載せずに includeステートメントを使って 外部ファイルに記載したkeysステートメントを読み込む方法もある rndcによる制御を許可する相手と使用する共通鍵を設定 rndcを実行する相手ごとに異なる共通鍵を使用する場合は 複数設定する [ 書式 key " 共通鍵名 " { secret " ベース64でエンコードされた共通鍵 "; include " 外部ファイル名 "; # key ステートメントが記述された外部のファイルを読み込む場合に使用する inet nrdc を受け付けるインターフェースアドレス allow { 許可する相手 ; } keys { " 使用する共通鍵名 "; [ 外部ファイルファイルを読み込む場合場合の設定例 # more named.conf include "/.key"; includeを使って 読み込むファイルを指定 chrootを使っている場合は chrootディレクトリから見た位置 この場合はローカル (127.0.0.1) からのみrndcコマンドを inet 127.0.0.1 allow { 127.0.0.1; } keys { "rndckey"; 受け付ける そのときに使用する共通鍵名は rndckey # more /var/named/chroot/.key includeで読み込んでいるファイル 共通鍵名は controlsステートメントの共通鍵名と 同じであること secret "NWteQWyWZBsI6T9W3srJ7bTPg5 ju3to8rfzj0sd0y3sd9ca7lnxb4su9kxe7"; # ls -l /var/named/chroot/.key namedサービスは namedユーザで稼動させているので -r-------- 1 named named 113 3 月 23 1522 /var/named/chroot/.key namedユーザに対して所有権 アクセス権を与えるように変更 した

rndc の設定例 ローカル上の named サービスの制御ここではローカルからのrndcのみ許可する設定を説明すると同時に rndcコマンドが読み込むファイルとnamedサービスが読み込むファイルが異なることを検証す rndc が使用使用するするファイルファイルの作成 # rndc-confgen -a -b 512 -k rndc-key # more /.key 内容の確認 key "rndc-key " { secret "i/3whpjtslbveh0hzyv66qodztqaqaha15xmuqe9grvl3rb9 hnpmw9l6fw/f8k34u24se7dw0jjyc+g6/la7aa=="; /.keyを作成 ( 既存の /.keyは上書きされる) rndcコマンドが使用する共通鍵名は rndc-key とした # ls -l /.key アクセス権の確認 rootしか読み込めないようにする -r-------- 1 root root 77 4 月 1 1401 /.key ( 一般ユーザがrndcを使えないようにする ) named.conf の設定 # vi /var/named/chroot/etc/named.conf 今回は共通鍵を外部ファイルから読み込む方法で設定 chroot 環境下なので 実際は include "/.key.chroot"; /var/named/chroot/.key.chroot namedが読み込むファイル名は何でも良い アクセスできるのはローカルシステムのみ inet 127.0.0.1 allow { 127.0.0.1; } keys { " rndckeys "; 使用する共通鍵名は rndckeys にした (/.keyと明確に区別するため) named.conf が読み込むファイルファイルの作成 # cp /.key /var/named/chroot/.key.chroot ( 最初から作るのは面倒なので )/.keyをコピーして # vi /var/named/chroot/.key.chroot 共通鍵名はnamed.confで指定した rndckeys に変更 key "rndckeys " { secret "i/3whpjtslbveh0hzyv66qodztqaqaha15xmuqe9grvl3rb9 hnpmw9l6fw/f8k34u24se7dw0jjyc+g6/la7aa=="; # chown namednamed /var/named/chroot/.key.chroot アクセス権の変更 named しか読み込めないようにする # chmod 400 /var/named/chroot/.key.chroot # ls -l /var/named/chroot/.key.chroot -r-------- 1 named named 77 4 月 1 1505 /var/named/chroot/.key.chroot rndc の確認 # service named start namedの起動 named を起動中 [ OK # rndc status rndc が実行できることを確認 version 9.7.3 (Not available.) CPUs found 1 worker threads 1 number of zones 21 debug level 0 xfers running 0 xfers deferred 0 soa queries in progress 0 query logging is ON recursive clients 0/2900/3000 tcp clients 0/100 server is up and running # rndc reload 設定の再読み込みもできた server reload successful # service named stop 停止も正常にできた named を停止中 [ OK (rndcがおかしい場合は正常に終了できない)

リモート上の named サービスの制御 192.168.24.54のホスト上で動作するnamedサービスに対して 192.168.24.60からrndcコマンドの実行ができるようにする named サービス (192 192.168 168.24 24.54 54) 側の設定共通鍵の作成 # rndc-confgen -a -b 512 -c /tmp/rndckey -k rndc-test 既存の /.keyはそのまま使用するので wrote key file "/tmp/rndckey 上書きしないように別ファイルに出力 # more /tmp/rndckey 内容の確認 key "rndc-test" { (/tmp/rndckey ファイルは後で削除する ) secret "fltqarfkihfkvjpabtkoapmdatgah+v9ittxamjgujlkgiejwvt ohn9kibo2l9c4k7u88lwytjisluuotb2ieg=="; named.conf の設定 # vi /var/named/chroot/etc/named.conf acl localnet { ACLの作成 ( 任意 ) 192.168.24.60; ここでは192.168.24.60のみに指定 include "/.key.chroot"; inet 127.0.0.1 allow { 127.0.0.1; } keys { "rndckeys"; key "rndc-test" { secret "fltqarfkihfkvjpabtkoapmdatgah+v9ittxamjgujlkgiejwvt ohn9kibo2l9c4k7u88lwytjisluuotb2ieg=="; 上記の検証で作成したローカルからの rndc 用の設定ファイル 今回は共通鍵を外部ファイルから読み込まずに keyステートメントで指定した方法で設定することとし 作成した /tmp/rndckeyの内容をそのままコピー rndcを受け付けるインターフェースは 192.168.24.54 inet 192.168.24.54 allow { localnet; } keys { "rndc-test"; } localnet(=192.168.24.60) からのrndcを許可 使用する共通鍵名は keyステートメントで指定したrndc-test iptables( パケットフィルタリング ) の設定 # iptables -I INPUT 14 -s 192.168.24.60 -p tcp --dport 953 -j ACCEPT 192.168.24.60からのTCP953 宛パケットを許可する # service iptables save 設定の保存 設定の再読再読み込み # rm /tmp/rndckey /tmp/rndckeyは不要なので削除 rm remove 通常ファイル `/tmp/rndckey'? y # rndc reload 再読み込み実施 rndc を実行実行する (192 192.168 168.24 24.60 60) 側の設定 # vi /.conf リモートのBINDも制御するため /.confを使用する options { default-server localhost; default-key "rndckey"; server localhost { key "rndckey"; secret "E03MOKBPayBRkKeUMNGK4WmGkN63jgbcYVhvw1ap e9ytdbwhylytvqpk9rwz"; server 192.168.24.54 { key "rndckey2"; ローカル (192.168.24.60) のnamedサービスを制御するための rndcの設定新しく設定を追加 192.168.24.54に対しては 共通鍵名 rndckeys2を使用 key "rndckey2" { 共通鍵の設定 共通鍵名は rndckeys2 secret "fltqarfkihfkvjpabtkoapmdatgah+v9ittxamjgujlkgiejwvto 共通鍵は 192.168.24.54のnamed.confで指定したものと同じ Hn9kIBo2L9c4k7u88LWyTjisLUUotB2Ieg=="; # chmod 400 /.conf アクセス権の確認 root だけが読み込めるように変更 # ls -l /.conf ( 一般ユーザが rndc を使えないようにする ) -r-------- 1 root root 438 4 月 1 1826 /.conf

192.168 168.24 24.60 からの rndc 確認 # rndc -s 192.168.24.54 status デフォルト以外のホストを対象とするときは version 9.7.3 (Not available.) -s ホスト名 オプションを使用する CPUs found 1 worker threads 1 number of zones 21 debug level 0 xfers running 0 xfers deferred 0 soa queries in progress 0 query logging is ON recursive clients 0/2900/3000 tcp clients 0/100 server is up and running rndc 関係のトラブルシューティング rndc.key ファイルにアクセスアクセスができないのでができないので named の起動起動に失敗失敗する # service named start named を起動中 [ 失敗 # tail /var/log/messages Jul 30 013238 notepc01 named[9386 loading configuration from '/etc/named.conf' Jul 30 013238 notepc01 named[9386 /etc/named.conf54 open /.key permission denied Jul 30 013238 notepc01 named[9386 loading configuration permission denied Jul 30 013238 notepc01 named[9386 exiting (due to fatal error) [ 対応 /.key のアクセス権を named サービスを実行するユーザが読み込めるように変更する rndc が使用使用するする 共通鍵共通鍵が記述記述されたされたファイル (/etc rndc.conf conf または /etc rndc.key key) が見つからない # rndc status rndc neither /.conf nor /.key was found [ 対応 /.key または /.conf を用意して設定を行う rndc が使用使用する key と対象対象の named サービスが使用使用する key が異なる # rndc status rndc connection to remote host closed This may indicate that the remote server is using an older version of the command protocol, this host is not authorized to connect, or the key is invalid. [ 対応 rndc が使用する key(/.conf または /.key の中 ) と named.conf の使用する key(named.conf 内か読み込んでいる外部ファイル ) の共通鍵 ( 鍵名は不一致でも良い ) を合わせる

rndc の設定設定がおかしいためがおかしいため named サービスが正常正常に終了終了できない # service named stop named を停止中...[ 失敗. [ 対応 named を強制的に終了させ rndc 関係の設定を確認する [ 解決例 # ps -ef grep named named 8344 1 0 1359? 000000 /usr/sbin/named -u named -4 -t /var/named/chroot named のプロセスがまだ残っていることを確認 # kill 8344 kill コマンドで強制終了 # service named start 仮にすぐに起動させた場合は 起動するが named を起動中 [ OK ここの灰色の部分は # service named status status 情報がおかしい検証のために行ったこと named が停止していますが PID ファイルが残っていますなのでやらないこと # ps -ef grep named 起動中のnamedのプロセス番号と named.pidに named 9831 1 0 1531? 000000 /usr/sbin/named -u named -4 -t /var/named/chroot 登録されているプロセス番号が不一致するという問題が発生する # more /var/run/named.pid 9136 # service named status killで終了した場合はまずはstatusを確認 rndc connect failed 127.0.0.1#953 connection refused rndcconnection~はnamedが停止のためなので無視 named が停止していますが PID ファイルが残っています # more /var/run/named.pid PID ファイルの確認 ( こちらはシンボリックリンク ) 中身は空だがファイルは存在する ( 存在することが問題 ) # more /var/named/chroot/var/run/named/named.pid PID ファイルの確認 ( こちらは本体 ) 中身は空だがファイルは存在する ( 存在することが問題 ) # rm /var/named/chroot/var/run/named/named.pid PID ファイルの削除 # rm /var/run/named.pid 同上 rm remove シンボリックリンク `/var/run/named.pid'? y # service named status (2 重起動防止のための ) ロックファイルが rndc neither /.conf nor /.key was found 残っているのでまだ起動できない named は停止していますがサブシテムがロックされています # ls -l /var/lock/subsys/named ロックファイルが存在する -rw-r--r-- 1 root root 0 4 月 1 1308 /var/lock/subsys/named # rm /var/lock/subsys/named ロックファイルの削除 rm remove 通常の空ファイル `/var/lock/subsys/named'? y # service named status エラーが出なくなった rndc connect failed 127.0.0.1#953 connection refused named は停止しています rndc の設定を確認後 named サービスを起動させる

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック