|
[バックナンバーのトップへ] [Linux システム管理のトップへ] いますぐ実践! Linux システム管理 / Vol.076 / 読者数:910名こんばんは、うすだです。 UNIX や Linux 系の雑誌が相次いで休刊になっていますが、今度は、 あのオープンソースマガジンまでもが、休刊になってしまうようですね。
オープンソースマガジンの休刊にあたって
雑誌名が UNIX USER の頃には、いろいろとお世話になりました。 コンパイルの仕方とか、ソース・ツリーの構造、エクステンションの種類や使い方、 国際化の話など、とってもためになったことを覚えています。
上記の最後にある、
『他社のLinux/OSS関連雑誌も同時期に休刊となる』というひとことが、
とても意味深です。 もやもやっとしてますが、今週も、なんとかはりきってまいりますよ! 今週のお題 - named を遠隔操作する今や、いつでもどこでも、DNS は必要不可欠な存在となりました。
自前でドメインを取得し、サーバを立てているところでは、外のひとたちのために、
DNS サーバを立ち上げる必要があります。 しかし、そんな大事な DNS サーバがとち狂ってしまいますと、 ホスト名でアクセスできなくなり、実質ネットワークが使えなくなってしまいます。
そんなことにならないよう、日頃からみっちり監視しなくてはいけないのですが、
だからこそ、なるべく手間をかけたくない、とも言えます。 そんなわけで、今週は、別のマシンから DNS サーバを操作する方法を、 ご紹介したいと思います。
DNS サーバと言えば、BIND がもっとも使われているのではないかと思いますが、
その BIND には、rndc というコマンドがあります。 つまり、今週のお題では、別のマシンで動作している named を、 rndc で操作する方法をご紹介したいと思います。 (djbdns などをお使いの方は、申し訳ありませんが、もんもんとしてください。)
ただ、rndc は、BIND 9 より前のバージョンには、もれなくついてこないようです。
ですので、古い BIND をお使いの方は、最新版の BIND にすることをお勧めします。
さて、rndc が使えるようにする手順は、以下のようになります。
あらためて書くほどでもありませんでしたね。
まずは、通信時に使用する鍵を、dnssec-keygen コマンドで作成します。 % dnssec-keygen -a hmac-md5 -b 512 -n user foo
-a オプションでアルゴリズムを指定できますが、
rndc は HMAC-MD5 しか対応していませんので、他の選択肢はありません。
これを実行すると、
Kfoo.+157+数字.private と Kfoo.+157+数字.key というファイルができます。 % cat Krndc.+157+数字.private Private-key-format: v1.2 Algorithm: 157 (HMAC_MD5) Key: VG1HK9nAs0NrWVND9e6y7kGB1QSwkkPWgsO8ZEIDXY7plVqn...(後略) VG1HK9云々…という部分が、秘密鍵です。
次に、DNS サーバ・マシン上の /etc/named.conf を修正して、
rndc からの要求を受け付けるようにします。以下のような項目を追加しましょう。
controls {
inet DNSサーバのIPアドレス allow { rndc を許可する範囲; } \
keys { 鍵の名前; };
};
include "/etc/rndc.key";
controls で、rndc を有効にします。 たとえば、以下のように記述します。
controls {
inet 192.168.1.1 allow { 192.168.1.0/24; } keys { "usukey"; };
inet 127.0.0.1 allow { 127.0.0.1; } keys { "usukey"; };
};
include "/etc/rndc.key";
DNSサーバのIPアドレスが 192.168.1.1, ネットワークが 192.168.1.0/24 で、
そのネットワークからの要求は、誰であっても許可するという設定になります。
また、ここでは、ローカルホストも許可しています。
そして、公開鍵が記述された /etc/rndc.key を作成します。
key "usukey" {
algorithm hmac-md5;
secret "VG1HK9nAs0NrWVND9e6y7kGB1QSwkkPWgsO8ZEIDX...(後略)";
};
key の後には、先ほど named.conf に記述した、鍵の名前を指定します。 rndc.key は、一般人が参照できないようにしておきましょう。 # chown root.named /etc/rndc.key # chmod 640 /etc/rndc.key 最後に、named.conf が変更されたことを、named に知らせます。 # /etc/rc.d/init.d/named reload rndc を実行するマシンも、設定を行います。 まず、DNS サーバ・マシン上で作成した /etc/rndc.key と同じファイルを、 こちらのマシンにも用意します。
次に、/etc/rndc.conf という、rndc の設定ファイルを作成します。
options {
default-server DNS サーバ名;
default-key 鍵の名前;
};
include "/etc/rndc.key";
options では、デフォルトの DNS サーバ・マシンと、鍵の名前を指定します。
これらは省略可能ですが、省略すると、
rndc コマンド実行の度に双方を指定する必要があります。
それでは、実際に rndc を実行してみましょう。 # rndc status
と実行しますと、named の状態がわかります。 # rndc -s localhost -y usukey status
他にも、コマンドがいくつかあります。
(rndc を引数なしで実行すると、一覧が出力されます。) # rndc dumpdb # cat /var/named/named_dump.db ... 以上、rndc の設定方法を、ご紹介しました。 駆け足でご紹介してしまいましたが、それでもなんだかごちゃごちゃしていますね。 わかりにくかったら、申し訳ありません。
*BSD 上で試したとき、
dnssec-keygen がいつまでたっても終わらない現象に遭遇しました。
乱数の生成に /dev/random を使用しているのですが、/dev/random は、
乱数の生成に必要なデータが揃うまで乱数を出力しないため、
半永久的に待たされているようでした。 % dnssec-keygen -a hmac-md5 -b 512 -n user -r keyboard foo start typing: .......(キーボードを乱れ打ちます).... stop typing. Kfoo.+157+数字 宿題の答え先週の宿題は、 Logwatch で、すべてのサービスの集計結果を必要としますが、特定の サービスの集計結果が先頭に来るようにしてください。 でした。
実現可能かどうかを確認せずに宿題としてしまいましたが、
logwatch を2回起動すればよい、ということに気がつきました。 # logwatch --service sshd --print # logwatch --service all --service -sshd --print
と実行すればよいですね。
#!/bin/sh
TMPFILE=/tmp/logwatch-$$
trap "rm -f $TMPFILE" 0 1 2 3 9 11 15
if [ $# -lt 1 ]; then
echo "Usage: $0 services..."
exit 1
fi
CMD="logwatch --print"
for serv in $*; do
CMD="$CMD --service $serv"
done
$CMD > $TMPFILE
LINE=`wc -l $TMPFILE | awk '{print $1}'`
head -`expr $LINE - 3` $TMPFILE
CMD="logwatch --print --service all"
for serv in $*; do
CMD="$CMD --service -$serv"
done
$CMD > $TMPFILE
LINE=`wc -l $TMPFILE | awk '{print $1}'`
tail -`expr $LINE - 9` $TMPFILE
logwatch を2回起動して、標準出力に結果を出力するスクリプトです。 で、これを、logwatch-prv.sh というファイル名で保存し、 以下のように実行しますと、メールで通知してくれます。 # ./logwatch-prv.sh sshd | Mail -s "LogWatch for `hostname`" root これを cron でやる場合は…各自でお悩みください。(^ε^) 今週の宿題今週の宿題は、 rndc で使用する TCP のポート番号を、別の番号に変更しましょう。 です。
それぞれの設定は、
named.conf と rndc.conf のオンラインマニュアルに書いてあります。
(man named.conf とか実行してください。) あとがきすでにあちこちで自慢していますが、先日、J-WAVE というラジオ局の番組から、 栗日記(ブログ)を紹介させて欲しい、という願ったりかなったりなお話が、 舞い込んできました。 でもって、一昨日の夜中に、電話でですが、 生まれてはじめて収録というものをやりました。 雑談のような雰囲気で話しながら、質問とその答えを探り、 答えの方向性が出てきたところで録音する、という形式で、収録が行われました。 わたしはあがり性なので、詰まったり言い違えたりといったことが、 多々あったわけですが、その都度収録し直してもらいましたので、なんとか、 最低限レベルで収録を終えることができた…と思います。 ちなみに、J-WAVE M+(MUSIC PLUS) という番組の、 WILLCOM BLOG ON! というコーナーで、10日の午前11時45分頃に、 紹介していただけます。
J-WAVE が首都圏限定なため、わたしは生では聞けませんが、もし首都圏にお住いで、
興味があるなんていう方は、聞いていただけますと幸いです。
まあそれはともかく、このお話をいただいたときに、ラジオという、 耳で聞く媒体を通して、ブログという、視覚中心のものを紹介するということが、 ちょっと不思議に思われました。 せっかくの機会なので、収録後に伺ってみたところ、サイトの紹介より、 ブログを書いているひとの考え方やこだわりなどを紹介することの方が、 重要なのだとおっしゃっていました。 たしかに、ラジオで、ブログの URL を言われても面白くないでしょうし、 そもそも覚えられないですよね。ブログにアクセスできなくても、 こんなふうに考えて書いているとか、こんなこだわりがあるんですよということが、 作者の声を通して聞けるのであれば、面白そうです。
ちなみに、今までに紹介されたブログが、以下に掲載されています。 http://www.j-wave.co.jp/original/musicplus/blog_link/index.htm 言いたいことの半分も言葉にできなかった気がしますが、意外とこだわりを持ち、 考えながら栗の絵を描いているということがわかり、われながらびっくりしました。 (仕事でも取材を受けたことがあるのですが、 驚くほど仕事に対して何も考えておらず、ちゃんと質問に答えられなくて、 散々な結果になりました。あのときは、しばらくヘコんでましたね…。) 次からは、もう少しリラックスして、 面白いことのひとつでも言えるようになれたらなー、なんて思いました。
今週も、ここまで読んでいただき、ありがとうございました。
「いますぐ実践! Linux システム管理」の解除は、以下からできます。
バックナンバーは、こちらにほぼ全部そろっています。
「栗日記」−栗の季節がおわろうとしていますが、絵は年中描いてます。 |
▼ トップ ▼ プロフィール ▼ リンク
▼ 作ってみました
▼ せんでん 
▼ 最近読んだ本
[X]
「センネン画報」 今日 マチ子「粟津潔 デザインする言葉」 粟津潔 「Binary Hacks」 高林 哲,鵜飼 文敏,佐藤 祐介,浜地 慎一郎,首藤 一幸 「Make: Volume01」 オライリー・ジャパン 「セーラが町にやってきた」 清野 由実 「手紙屋」 喜多川 泰 「Linuxカーネル2.6解読室」 高橋 浩和,小田 逸郎,山幡 為佐久 「人蕩し術」 無能 唱元 「子育てハッピーアドバイス2」 明橋 大二, 太田 知子 「ラッセル幸福論」 B. Russell 「それでも人生にイエスと言う」 Viktor Emil Frankl 「子育てハッピーアドバイス」 明橋 大二, 太田 知子 「考具」 加藤 昌治 「北欧デザイン<3>」 渡部 千春 「北斎の謎を解く」 諏訪 春雄 「体感美術館」 平野 暁臣 「チベット永遠の書」 Theodore Illion 「リナックスの革命」 Pekka Himanen 「人月の神話」 Frederick Phillips,Jr. Brooks 「ヤバい経済学」 Steven D. Levitt, Stephen J. Dubner 「小布施ッション<2001-2002>」 セーラ・マリ カミングス 「アンパンマン伝説」 やなせ たかし 「夢をかなえるゾウ」 水野 敬也 「ゲーム開発者のためのAI入門」 David M. Bourg, Glenn Seemann 「北欧デザイン<2>」 渡部 千春 「北欧デザイン<1>」 渡部 千春 「ヒューマン2.0」 渡辺 千賀 「中国・ロシア同盟がアメリカを滅ぼす日」 北野 幸伯 「超ロング・セラー 絶滅寸前商品」 湯浅 豊彦 「The BUG(ザ・バグ)」 すずき ひろのぶ,かとう みつあき 「デザインのデザイン」 原 研哉 「マキアヴェッリ語録」 塩野 七生 「ハンバーガーを待つ3分間の値段」 斎藤 由多加 「星の旅人-スペイン「奥の細道」-」 黛 まどか 「食品の裏側」 安部 司 「On Lisp」 Paul Graham 「ぼくが医者をやめた理由 つづき」 永井 明 「あなたならどうする?」 Jack Nikolaschka 「セキュアプログラミング−失敗から学ぶ設計・実装・運用・管理」 Mark G. Graff, Kenneth R. van Wyk 「「左利き」は天才?−利き手をめぐる脳と進化の謎」 David Wolman 「自分の中に毒を持て」 岡本 太郎 「アトピーの薬を減らす本」 田中 貴子 「岡本太郎「明日の神話」修復960日間の記録」 吉村 絵美留 「X51.ORG THE ODYSSEY」 佐藤 健寿 「アレルギーっ子の暮らし応援BOOK」 佐藤 のり子 「沖縄文化論」 岡本 太郎 「「伝説の社員」になれ!」 土井 英司 「コンピュータの構成と設計(上)」 Patterson & Hennessy 「カラスのジョンソン」 明川 哲也 「ドリルを売るには穴を売れ」 佐藤 義典 「頭がよくなる照明術」 結城 未来 「クロフォードのインタラクティブデザイン論」 Chris Crawford 「いじめの根を絶ち子どもを守るガイド」 Barbara Coloroso 「非常識のすすめ―逆発想の仏教論」 ひろさちや 「Linuxアドバンストネットワーク構築ガイド - HAサーバ構築編」 デージーネット 「イノベーションの達人!」 Tom Kelly, Jonathan Littman 「クリエーター50人が語る創造の原点」 小原 啓渡 「欺術 - 史上最強のハッカーが明かす禁断の技法」 Kevin Mitnick 「楽しい気象観察図鑑」 武田 康男 「入門 Ajax」 高橋 登史朗 「リリカルな自画像」 岡本 太郎 「やぎの目ゴールデンベスト」 林 雄司 「初めてのPython 第2版」 Mark Lutz,David Ascher 「鼻兎」 小林 賢太郎 「なぜ、これがアートなの?」 Amelia Arenas 「芸術起業論」 村上 隆 「まほう色の瞳」 Enrique Barrios 「ラーメンズつくるひとデコ」 ラーメンズ 「R25 つきぬけた男たち」 R25編集部 「美の呪力」 岡本 太郎 「しろのあお」 上大岡 トメ 「ザ・ゴール」 Eliyahu M. Goldratt 「ハッカーと画家」 Paul Graham 「岡本太郎に乾杯」 岡本 敏子 「Fedore Core Expert」 Software Design 「誰も知らない男」 ブルース・バートン 「子どもが育つ魔法の言葉」 ドロシー・ロー・ノルト 「国家の罠」 佐藤 優 「夜回り先生」 水谷 修 「やぎの目絵日記」 林 雄司 「7つの習慣」 スティーブン・R. コヴィー 「まろ、ん?−大掴源氏物語」 小泉 吉宏 「ザ・サーチ グーグルが世界を変えた」 ジョン・バッテル 「ポストモダン・マーケティング」 スティーブン ブラウン 「機動戦士ガンダムさん」 大和田 秀樹 「小エロのひみつ - Webやぎの目研究発表」 林 雄司 「これ、誰がデザインしたの?」 渡部千春 「60分間・企業ダントツ化プロジェクト」 神田 昌典 「ガルシアへの手紙」 エルバート ハバード 「人生は素晴らしいものだ」 オグ・マンディーノ 「ザ・マインドマップ」 トニー・ブザン,バリー・ブザン 「ワインバーグのシステム思考法」 G.M.ワインバーグ 「渋谷ではたらく社長の告白」 藤田 晋 「渋井真帆の日経新聞読みこなし隊」 渋井 真帆 「コラム息切れ」 小野 法師丸 「早朝起業」 松山 真之介 「変な人が書いた驚くほどツイてる話」 斎藤 一人 「35歳から仕事で大切にしたいこと」 村井 勉 「金融広告を読め」 吉本 佳生 「発想する会社!」 トム・ケリー,ジョナサン・リットマン 「エハイク」 吉田 戦車 「人生の旋律」 神田 昌典 「仕事の思想」 田坂 広志 「CPUの創りかた」 渡波 郁 「非常識な成功法則」 神田 昌典 …これ以前は記録してません…
▼ 気に入ってる本
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
