江戸前高級魚 男の料理レシピ 飲み過ぎ注意 本日も晴天なり 横浜散歩道
あみ〜ごのblog 問い合わせ
  Solaris de サーバ構築
Linux de サーバ構築
 


  ♠ SolarisやLinuxをベースとしたネットワークサーバの構築記録を書き留めています。
  ♠ ハードウエア選定やOSインストール、IP設定などの基礎事項は省略しています。
  ♠ OSによって多少の相違点がありますので、各システム環境に合わせた調整が必要となります。
  ♠ GNUのgccやgunzipなどの各種ツールは、事前に用意(インストール)していることを前提としています。
  ♠ インストールに際しては各ドキュメント(READMEやINSTALL.txtなど)を通して理解することが最優先です。


▼OS▼ ▼Software▼ ▼構築するサーバプロジェクトのテーマ▼ ▼備考▼
22 Linux Ubuntu12 bind9 Linux + bind9によるDNSサーバ脆弱性対策
21 Linux RHEL6 Linux + bondingによるネットワーク冗長化
20 Linux CentOS6 apache2 Linux + apache2によるHTTPSサーバ構築
19 Linux Ubuntu14 WordPress Linux + WordpressによるBlogサーバ構築
18 Linux CentOS6 qmail Linux + qmailによるメールサーバ構築
17 Linux CentOS6 openssh Linux + sshdによるSSHサーバ構築
16 Linux CentOS6 proftpd Linux + ProftpdによるFTPサーバ構築
15 Linux Ubuntu12 bind9 Linux + bind9によるDNSサーバ構築
 
14 Solaris10 perl ASP版・行動予定表(e-ホワイトボード)
13 Solaris9 OpenSSL httpsセキュア・サーバ構築(自己認証)
12 Solaris9 OpenSSH OpenSSHによるSSHサーバ構築
11 Solaris10 Solaris10 Solaris10のシステム構築とセットアップ
10 Solaris10 MovableType MovableTypeによるBlogサーバ構築
9 Solaris10 html 初心者のためのHTML入門
8 Solaris9 qmail qmailによるPOP before SMTPの導入
7 Solaris2.6 外部からの不用な侵入を防止する
6 Solaris2.6 samba ファイルサーバの構築(NFS & SAMBA)
5 Solaris2.2 pppd pppdによるダイヤルアップサーバの構築
4 Solaris9 tcp_wrappers tcp_wrappersによるアクセス制御
3 Solaris9 apache apacheによるWebサーバ構築
2 Solaris2.6 sendmail sendmailとCFでメールサーバの基本設定
1 Solaris9 bind9 bind9によるDNSサーバの設定


  ◆ DNSサーバの脆弱性対策 ◆ − Linux + アップデートによるBIND脆弱性対策 −
 
  DNS サーバ BIND の脆弱性が公表された。
現行のBIND9.xを脆弱性対策された更新版にアップデートする。
  ゾーンファイルなどの設定ファイルは引継ぎつつ、現行のパッケージ版
を削除して、更新版をソースからインストールする。
  ■設定条件■
・ネットワークアドレス100.200.300.33
・DNSサーバのホスト名dns
・サーバFQDNdns.hoge.jp
・サーバIPアドレス100.200.300.35
・メールサーバIPアドレス100.200.300.37
・セカンダリーIPアドレス110.220.330.400
・ドメイン名hoge.jp
・BINDバージョンBIND 9.9.9-P6
・LinuxOSUbuntu12.x
  ■現行パッケージ版の削除■ # /etc/init.d/bind9 stop # apt-get remove bind9 # rm /usr/sbin/named # rm /usr/sbin/named-checkconf # rm /usr/sbin/named-checkzone # rm /usr/sbin/named-compilezone # rm /usr/sbin/rndc ■更新版BINDのインストール■ % sudo su Passwd: # cd /usr/local/src # wget http://ftp.isc.org/isc/bind9/9.9.9-P6/bind-9.9.9-P6.tar.gz # gunzip bind-9.9.9-P6.tar.gz # tar xvf bind-9.9.9-P6.tar # cd bind-9.9.9-P6 # ./configure --enable-shared --enable-fetchlimit --with-openssl=no --disable-ipv6 ※opensslは使用しない # make # make test # make install # # ln -s /usr/local/sbin/named /usr/sbin/named # ln -s /usr/local/sbin/named-checkconf /usr/sbin/named-checkconf # ln -s /usr/local/sbin/named-checkzone /usr/sbin/named-checkzone # ln -s /usr/local/sbin/named-checkzone /usr/sbin/named-compilezone # ln -s /usr/local/sbin/rndc /usr/sbin/rndc ■rndc.keyの設定■ ※ソース版のBINDは/etc/rndc.key, /etc/rndc.conf を参照する # cd /etc # rndc-confgen -a -b 512 -k rndckey -r keyboard ※/etc/rndc.keyの生成 # rndc-confgen -r /dev/urandom > rndc.conf ※/etc/rndc.confの生成 # chown bind:bind rndc.conf # chmod 640 rndc.conf # cat rndc.key key "rndc-key" { algorithm hmac-md5; secret "OHj98koYYrrplmhihdabXYAwpePtqp4jETYvJH08=="; ※新たに生成されたkey }; # vi rndc.conf # cat rndc.conf key "rndc-key" { algorithm hmac-md5; secret "OHj98koYYrrplmhihdabXYAwpePtqp4jETYvJH08=="; ※新しいkeyを記述する }; options { default-key "rndc-key"; default-server 127.0.0.1; default-port 953; }; # End of rndc.conf ■resolv.confの設定■ ※resolv.conf は既存のまま継続使用する # vi /etc/resolv.conf # cat /etc/resolf.conf search hoge.jp nameserver 100.200.300.35 ※自DNSのIPアドレス nameserver 110.220.330.400 ※セカンダリーのIPアドレス ■BINDに必要な設定ファイルを生成する■ ■named.confの生成■ ※ソース版のBINDは/etc/named.conf を参照する # cp /etc/bind/named.conf /etc/ # vi /etc/named.conf # cat /etc/named.conf //====================================== // /etc/named.conf //====================================== options { directory "/etc/bind"; ※ゾーンファイルは既存の/etc/bind/* allow-transfer { 100.200.300.35; // ※自DNSサーバ 100.200.300.37; // ※自DNSのメールサーバ 110.220.330.400; // ※セカンダリDNS } ; } ; // key "rndc-key" { algorithm hmac-md5; secret "OHj98koYYrrplmhihdabXYAwpePtqp4jETYvJH08=="; ※新しいkeyを記述する }; controls { inet 127.0.0.1 port 953 allow { 127.0.0.1; } keys { "rndc-key"; }; }; // zone "." in { type hint; file "named.root"; } ; // zone "0.0.127.in-addr.arpa" in { type master; file "0.0.127.in-addr.arpa"; // ← ループバック"127.0.0.1"の逆引きゾーンファイルを指定 } ; // zone "hoge.jp" in { type master; file "hoge.jp"; // ← ドメイン"hoge.jp"の正引きゾーンファイルを指定 } ; // zone "33.300.200.100.in-addr.arpa" in { type master; file "SUB33.300.200.100.in-addr.arpa"; // ← ネットワーク"100.200.300.33"の逆引きゾーンファイルを指定 } ; // // End of File # named-checkconf ※エラーが出なければOK ■named.rootの入手■ # cd /etc/bind # mv named.root named.root_OLG # wget https://www.internic.net/domain/named.root --no-check-certificate # chown bind:bind named.root # chmod 640 named.root # ls -l named.root -rw-r----- 1 bind bind 3291 2016-10-21 04:35 named.root ■ドメイン"hoge.jp"の正引きゾーンファイルの作成■ # vi /etc/bind/hoge.jp # cat /etc/bind/hoge.jp ;=========================================================== ; /etc/bind/hoge.jp ;=========================================================== $TTL 86400 @ IN SOA dns.hoge.jp. postmaster.hoge.jp. ( 2013082203 ; Serial ; 0 ; Serial 10800 ; Refresh after 3 Hours 3600 ; Retry after 1 Hour 604800 ; Expire after 1 Week 86400 ) ; Minimum TTL of 1 Day ; Authoritative Name Servers IN NS dns.hoge.jp. IN NS ns2.hoge.jp. ; Mail eXchanger IN A 100.200.300.37 ※メールサーバIPアドレス IN MX 10 mail.hoge.jp. ※メールサーバホスト名 ; Hosts dns IN A 100.200.300.35 www IN A 100.200.300.36 mail IN A 100.200.300.37 blog IN A 100.200.300.37 ※zoneファイルではCNAMEは使わない(Aレコードで記述) ; ; Localhost localhost IN A 127.0.0.1 ; ; End of File ■ネットワーク"100.200.300.33/48"の逆引きゾーンファイルの作成■ # vi SUB33.300.200.100.in-addr.arpa # cat SUB33.300.200.100.in-addr.arpa ;=========================================================== ; /etc/bind/SUB33.300.200.100.in-addr.arpa ;=========================================================== $TTL 86400 @ IN SOA dns.hoge.jp. postmaster.hoge.jp. ( 2013082203 ; Serial ; 0 ; Serial 10800 ; Refresh after 3 Hours 3600 ; Retry after 1 Hour 604800 ; Expire after 1 Week 86400 ) ; Minimum TTL of 1 Day ; Authoritative Name Servers IN NS dns.hoge.jp. IN NS ns2.hoge.jp. ; Hosts 35 IN PTR dns.hoge.jp. 36 IN PTR www.hoge.jp. 37 IN PTR mail.hoge.jp. 37 IN PTR blog.hoge.jp. ; End of File ■ループバック"127.0.0.1"の逆引きゾーンファイルの作成■ # vi 0.0.127.in-addr.arpa # cat 0.0.127.in-addr.arpa ;=========================================================== ; /etc/bind/0.0.127.in-addr.arpa ;=========================================================== $TTL 86400 @ IN SOA dns.hoge.jp. postmaster.hoge.jp. ( 2013082203 ; Serial ; 0 ; Serial 10800 ; Refresh after 3 Hours 3600 ; Retry after 1 Hour 604800 ; Expire after 1 Week 86400 ) ; Minimum TTL of 1 Day ; Authoritative Name Servers IN NS dns.hoge.jp. ; Hosts 1 IN PTR localhost. ; ; End of File ■起動ファイルの確認とその他設定■ # chkconfig --list | grep bind bind9 0:off 1:off 2:on 3:on 4:on 5:on 6:off # chmod 640 /etc/bind/* # chown -R bind:bind /etc/bind # # /etc/init.d/bind9 start # ps -ef | grep named bind 853 1 0 08:52 ? 00:00:00 /usr/sbin/named -u bind # named -v BIND 9.9.9-P6 (Extended Support Version) ※←BIND9がアップデートされた rndc status version: BIND 9.9.9-P6 (Extended Support Version) number of zones: 102 debug level: 0 xfers running: 0 xfers deferred: 0 soa queries in progress: 0 query logging is OFF recursive clients: 0/900/1000 tcp clients: 0/100 server is up and running ※←これで正常稼動を確認 //// digコマンドやnslookupコマンドでDNSの動作確認を行う //// //// 動作に問題がなければ、DNSサーバの更新は完了です //// 目次に戻る



WEB行動予定表 無料トライアル - スマホで社員のスケジュール管理
広告  www.linux55.com/
スマホやPCで社員・スタッフの行動予定を一元管理。クラウド対応のWEBホワイトボード