DNSサーバー2010

日経TRENDのクラウドTwitter特集号です。










面白かったのは、やはりインタビュー記事。
予想通り、DropBoxとEverNoteの方が出てました。


インプレスのクラウド本で初めて知った
DropBoxですが、今では、使っている人も
増えましたね。


オンラインストレージが、かなり増えているので、
変にUSBを持ち歩かなくても、
インターネットにさえ、接続できれば、
十分な「同期できる」外部ストレージがあるという
のは、ホンマに便利な時代になったものです。


※むしろ、USBメモリーを使う方が、
　ウイルスやBotに感染の危険が高い時代ですし。


他にも、Google,Firefoxの方のインタビューなども
面白い内容でした。


エンジニアでない人にも、オススメできます。

いよいよ現実になりそうな、
DNSSEC。



http://jpinfo.jp/event/2009/1216DNSSEC.html

ルートゾーンのDNSSEC正式運用開始は
2010年7月1日からだそうです。

Incremental roll outという手法で
導入するそうですが、
よく見たら、私たちもよくやっている
スモールスタートですよね、これって(^^)。


2010年は「DNSSEC導入元年」になりそうですね。


ルート証明書・サーバー証明書なんかも、
2048ビット化、アルゴリズムをSHA1へ、
などなど、かなりセキュリティ面からの
移行が進みそうですね。

大：更新間隔って
　　統一されてないんですか？

奥：うん。

　　だって、サーバーのスペックとか
　　負荷を事前調査して、
　　妥当な値なんだと思うし。

竹：それと、何かあった時に備えて、
　　人間が動けるようにとか
　　考えているはずだしね。

　　JPNICの頃って、朝５時頃だったんですよね？

荒：そう、言われてたね。

　　で、月火水木金土の朝、変わっていると。

　　記憶違いでなければ、そうだったと
　　思うよ。


=====================================
大：他の国も、15分間隔なんでしょうか？

荒：今回の記事を見て
　　ちょっと検索してみたけど、
　　バラバラだねー。

　　でも、やはり、アメリカ系の
　　大手は、更新間隔が短いみたいで、
　　数秒って書いてあるね。

　　何秒か言わないのが、
　　なんとも、微妙やな(^^)

http://internet.watch.impress.co.jp/cda/news/2004/09/10/4586.html




竹：やっぱり、comドメインとか、
　　需要が多いですもんね。

　　多いと、リクエストが多いんでしょうねぇー。

奥：もっと、早くしろと(笑）。

日経SYSTMES2008年1月号 P176〜P177
「ドワンゴさんのDNS移行事例記事」

荒：昔は（７年くらい前ですが・・）、
　　JPドメインの場合、
　　1日1回、朝書き換えが行われるから
　　それに合わせてTTL値を減らしておいたり
　　したんだけど。


　　確か、5時頃に変更とか言われてたなぁー。


竹：それが、去年2006年に変更されたんですよね。


■参考：JPRS
　http://jprs.co.jp/press/060404.html
　★従来の1日1回から、15分に1回へと大幅に短縮。


荒：そうそう。

奥：これって、JPドメインだけなんですよね？

　　comとか、どうなのかしら？

荒：日経SYSTMES2008の記事見てると、
　　nuドメインもあるみたいなので、
　　困っただろうなぁー(^^)。

奥：ニウエ島ですか(^^)

　　toドメインは知ってますけど、
　　nuなんてあるんですね。

大：レコードの移行が漏れていたってありますけど、
　　実際、よくあるんですか？

竹：ある、というか、あり得るよ。

奥：大きい会社だと
　　台数多いし、テスト用Webサーバーなんかが
　　小さいTTL値設定されてて、
　　移行前にも、
　　「あー、またレコード変わっている」
　　なんて、あるしね。

荒：めんどくさいよ、実際。

大：ふーーん。

　　じゃあ、中規模とか小さい会社の案件が
　　いいですねぇー。


=============================



■BIND9によるDNSサーバ構築

出版社:技術評論社
価格：￥2,919(税込)


最近Linuxをさわり始めた人で、
DNSに関する本で一番最新のが欲しい人は、これをオススメします。

導入案件に関わる人にもオススメ。

SPFやDNSSECなどを、そろそろ学ばねば・・
という人にもオススメです。

アマゾンでは、目次などが出ていないので、内容がわからないと思いますが、私が薦めているんですから、間違いなく「買い」ですよ(^^)/。


※１点だけ問題があって、
BIND9からNegative TTLの値を設定しないと
いけないところを、BIND8までのTTL設定して
書いているところですね。

そこは要注意です。

　　

P176〜

ニコニコ動画などでおなじみの
ドワンゴさんの
240ドメインを管理するＤＮＳサーバーの
移行話が掲載されています。


BIND9をInfobloxに変更した理由と
移行作業の経過が書かれています。

大手企業では、
とっくの昔から３桁ドメイン
つまり、１００以上のドメインを
持っているところは多いですが、
非常に参考になるのでは？と
思います。


アクセス数が膨大なサイトの
ドメインは、かなりシビアそうですね。


Infobloxという製品も初めて知りました。

切り替え案件がある企業、エンジニアは
参考にしてはどうでしょうか？

■参考：infoblox
http://www.infoblox.com/

http://www.infoblox.jp/

移行作業をアクセスの少ないドメインから
１０ずつ２４グループに分け・・・
など、じーーーっと読んでいると、
綿密さと緊迫感が伝わります。


少ないドメイン数の管理を行っている人も
参考点は多いので、
目を通すと良いでしょうね。



=============================



■BIND9によるDNSサーバ構築

出版社:技術評論社
価格：￥2,919(税込)


最近Linuxをさわり始めた人で、
DNSに関する本で一番最新のが欲しい人は、これをオススメします。

導入案件に関わる人にもオススメ。

SPFやDNSSECなどを、そろそろ学ばねば・・
という人にもオススメです。

アマゾンでは、目次などが出ていないので、内容がわからないと思いますが、私が薦めているんですから、間違いなく「買い」ですよ(^^)/。


※１点だけ問題があって、
BIND9からNegative TTLの値を設定しないと
いけないところを、BIND8までのTTL設定して
書いているところですね。

そこは要注意です。

●Linuxサーバー管理者経験を作ろう！！


　http://blog.mag2.com/m/log/0000093813/


　色々な話の内容が盛りだくさんです。




■オススメ雑誌

　何も言いません！買いなさい(^^)/

　↓

LinuxWorld メモリアルDVDブック [2001-2007]

出版社:アイ・ディ・ジー・ジャパン
価格：￥2,194


※会社費用で購入し、DVDだけもらう、作戦も
　いいかも。
　

奥：digコマンドで、
　　ゾーン転送をしたことですし、
　　ほったらかしになっている、
　　DNSサーバーも、やらないとね。


　　これ、やっておかないと、
　　メールサーバーの方も
　　イマイチわからなくなっちゃうし。

大：すみません。

　　残業させてしまって・・・。

奥：いいのよ。

　　一応、ここは、
　　ちゃんと残業代出るし。


　　ちょっと一番最初にやらないと
　　いけなかったんだけど、
　　BINDに必要なパッケージを
　　確認しましょう。

大：はい。

　　rpm -qa | grep bind　でわかりますか？

奥：そうね。

　　それで、ひっかからないのが
　　あるのよね。


　　ちょっと、私が記録しておくね。

■パッケージ名
　・bind
　・bind-utils
　・bind-libs
　・caching-nameserver
　・bind-chroot


　　これだけ必要ですので、
　　必要な時は、ここを見てね！

大：ありがとうございます。

　　キャッシングネームサーバーですか・・。


■意外に色々と個性のあるので
　買ってしまった書籍

メールサーバ改造の教科書―セキュリティを強化して多目的なメールサーバを構築

価格：￥2,730(税込)
出版社:秀和システム

改造とか書いてますけど
怪しい本ではないですよ。


DNS(BINDやdjbdns）も役立ちますけど、
メールの方で、
LDAPとかscmailでの振り分けとか
かなり特徴のある、お役立ち本です。

ちょっと内容的に
驚きましたよ！





　　

奥：今日は、listen-onのネタですね。

大：よろしくお願いします。

竹：じゃ、始めましょう。

　　ブログには、載せなかったけど、
　　昨日、resolv.confの設定を
　　dns1のIPアドレスである、
　　192.168.1.33　に設定したのに、
　　うまく、名前解決しなかったよね。


大：はい。

竹：じつは、このlisten-onと関係します。

　　まず、下記を見て下さい。


[root@bind1 ~]# netstat -an | grep 53
tcp　0　0　127.0.0.1:53　　 0.0.0.0:*　　LISTEN
tcp　0　0　127.0.0.1:953　　0.0.0.0:*　　LISTEN
tcp　0　0　::1:953　　　　　:::*　　　　 LISTEN
udp　0　0　0.0.0.0:53　　　 0.0.0.0:*
udp　0　0　127.0.0.1:53　　 0.0.0.0:*
（以下省略）


大：うーーん。

　　わかったようなわかんないようなー。

　　192.168.1.33では、DNSを受け付けてないって
　　ことですか？

　　127.0.0.1だけ、
　　５３番ポートが開いてるんですか？


竹：そうです。

　　なので、他のPCなんかが、
　　このDNSサーバーを使って、
　　名前解決を行おうとしても、無理ってわけですね。


　　これがデフォルト設定になっているのって、
　　非常に重要なことですよ。


大：そうなんですか？

奥：昔は、こうじゃなかったのよ。

　　・・・・そんな、昔でもないかな。


大：じゃあ、
　　ここにIPアドレスを追加すればいいですか？


listen-on port 53 { 192.168.1.33;127.0.0.1; };


奥：うん。

　　それで、上書き保存してから、

　　/etc/rc.d/init.d/named restart　すると



[root@bind1 ~]# netstat -an | grep 53
tcp　0　0　192.168.1.33:53　　0.0.0.0:*　　　　　LISTEN
tcp　0　0　127.0.0.1:53　　　 0.0.0.0:*　　　　　LISTEN
tcp　0　0　127.0.0.1:953　　　0.0.0.0:*　　　　　LISTEN
tcp　0　0　127.0.0.1:953　　　127.0.0.1:57348　 TIME_WAIT
tcp　0　0　::1:53　　　　　　 :::*　　　　　　　 LISTEN
tcp　0　0　::1:953　　　　　　:::*　　　　　　　 LISTEN
udp　0　0　0.0.0.0:53　　　　 0.0.0.0:*
udp　0　0　192.168.1.33:53　　0.0.0.0:*
udp　0　0　127.0.0.1:53　　　 0.0.0.0:*
（以下省略）


大：うーーん、なるほどぉー。

　　これで、192.168.1.33でも
　　名前解決できるわけですね。

　　えっ？違いますか？


竹：じゃあ、やってみようか。

大：おかえりなさい。

奥：ただいま。

竹：あっ、じゃあ代わろうか？

奥：いえ、そのままお願いしまーす。

　　私は、
　　今までと違うところを、
　　チェックしておかないとなぁーと
　　思ってるので、横で見ておきます。
　　

大：大分、変わってますか？

竹：うん。

　　named.confというのが、
　　なくなっているだけでも大きく違うよ。

奥：そうそう。

　　えっ？って思うよ。

　　/etcが、下記なんですよね。


[root@bind1 etc]# ls -la named*
lrwxrwxrwx 1 root named 52 1月 28 04:25 named.caching-nameserver.conf -> /var/named/chroot//etc/named.caching-nameserver.conf
lrwxrwxrwx 1 root named 42 1月 28 04:25 named.rfc1912.zones -> /var/named/chroot//etc/named.rfc1912.zones



竹：なんで、ゾーンファイルがあるの？

　　って、思うよね。


奥：そうそう。

　　設定の中身は、今までと同じだけど。


　　でも、ファイル名なんかが変わっていると
　　戸惑うからね、実際。


竹：じゃあ、設定ファイルを開いてみようか。


[root@bind1 etc]# pwd
/etc　
[root@bind1 etc]# vi named.caching-nameserver.conf



//
// named.caching-nameserver.conf
//
// Provided by Red Hat caching-nameserver package to configure the
// ISC BIND named(8) DNS server as a caching only nameserver
// (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//
// DO NOT EDIT THIS FILE - use system-config-bind or an editor
// to create named.conf - edits to this file will be lost on
// caching-nameserver package upgrade.
//
options {
listen-on port 53 { 127.0.0.1; };
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
query-source port 53;
query-source-v6 port 53;
allow-query { localhost; };
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
view localhost_resolver {
match-clients { localhost; };
match-destinations { localhost; };
recursion yes;
include "/etc/named.rfc1912.zones";
};


竹：ということで、IPv6もあるんだよね。（笑）

　　これ、後で使えなくして、いいよね？


奥：いいでしょ。

　　IPv6は、まだまだ、先でしょうし。

竹：じゃあ、listen-onから始めようかな・・・。

大：はい。

　　お願いします。


奥：To be continued...

　　ドラマ「派遣の品格」風に、終わってみました・・。

大：では、アクセスしまーす。

　　はい、www.yahoo.co.jp　が表示されました。

竹：tsharkでも、キャプチャーしたよ。

　　tsharkの使い方は、番外編のカテゴリーで
　　説明します。

　　※tsharkは、Etherealの後継である、
　　　Wiresharkのコマンド版です。


大：今、DNSサーバーで名前解決が成功したから
　　ヤフーが見れたと思うんですけど、
　　キャッシュデータは、どうやって
　　見るんですか？


竹：rndc dumpdbというコマンドを
　　うつと、ファイルに書き出しができます。

　　うってみて下さい。

　　ls -la　すると、ファイルができているのが
　　確認できます。


大：はい。


[root@bind1 data]# rndc dumpdb
[root@bind1 data]# ls -la
合計 48
drwxrwx--- 2 named named 4096 1月 30 23:37 .
drwxr-x--- 4 root named 4096 1月 28 04:25 ..
-rw-r--r-- 1 named named 28489 1月 30 23:37 cache_dump.db
-rw-r--r-- 1 named named 4078 1月 30 23:37 named.run


　　cache_dump.db　というのがキャッシュデータですね。

竹：はい。

　　中身は、moreコマンドで見れますよ。

　　yahoo.co.jp　のAレコード他、
　　たくさんありますよ。


大：はーーーっ。

　　確かに、すごい量ですね。

　　ルートサーバーも、たくさんありますねぇー。



[root@bind1 data]# more cache_dump.db

（多すぎるので省略）



竹：現時点での、キャッシュされているデータを
　　書き出しました。

　　キャッシュが、有効な時間も、出てます。

　　ひとまず、今日は、rndc dumpdb　を
　　覚えてもらいました。


大：あのー、
　　このキャッシュデータを
　　削除することは可能なんですか？？


竹：はい。

　　じゃあ、続いて
　　キャッシュデータを消しましょうか。

　　このキャッシュデータのクリアは、
　　覚えておくと便利です。


　　間違ったデータが、
　　キャッシュされて困っている時、
　　このコマンドを思い出してください。

　　rndc flush

　　で、その後、もう１回rndc dumpdbすると・・・。


大：あー、サイズが、小さくなってますね。

[root@bind1 data]# ls -la
合計 28
drwxrwx--- 2 named named 4096 1月 30 23:51 .
drwxr-x--- 4 root named 4096 1月 28 04:25 ..
-rw-r--r-- 1 named named 306 1月 30 23:51 cache_dump.db
-rw-r--r-- 1 named named 4109 1月 30 23:51 named.run


　　moreコマンドで、見る・・・・

　　あー、Aレコードとか、何もなくなってますねぇー。


　　
[root@bind1 data]# more cache_dump.db
;
; Start view localhost_resolver
;
;
; Cache dump of view 'localhost_resolver'
;
$DATE 20070130145118
;
; Address database dump
;
;
; Unassociated entries
;
;
; Start view _bind
;
;
; Cache dump of view '_bind'
;
$DATE 20070130145118
;
; Address database dump
;
;
; Unassociated entries
;
; Dump complete
[root@bind1 data]#


竹：では、明日は、
　　設定ファイルの中身を見ましょう。

　　まだまだ手を加えないといけないので。


大：そうみたいですね。

　　tsharkでキャプチャーしたパケットデータを
　　見ると、IPv6の名前解決も
　　試みてますね(^^)。