title_parttitle_parttitle_part
静岡県浜松市であれこれソフトを開発している A.K.I Software のブログです。日々の開発日記やサーバー・セキュリティ関連の話題なども掲載。
<< 2024/03 >>12345678910111213141516171819202122232425262728293031
《《《 ネットワーク機器の購入は Amazon で! 》》》
Powered by BLOM ISC BIND にセキュリティーホール。
小さくも大きくも閉じたりもしません
09/08/04 04:28 / サーバー管理Tips

先日 ICS Bind に Dynamic DNS 絡みでセキュリティホールがあり修正版がリリースされました。
ICS Bind を利用している方は至急アップデートするようにと各所で告知されています。
DDNS 関連の不具合らしいのですが、DDNS を使っている、いないに関わらず発生するので全ての Bind9 に影響するようです。

うちでは 9.5.1-P1 を使っていますので、9.5.1-P3 になるのですが・・・

現在の ICS Bind は Windows 2000 はサポート対象外となっており、無理矢理起動させることも出来ません。(ソースからコンパイルしてやろうと思いましたがVC++ 2008 Express ではエラー山盛りでムリそうです。修正する気力もありません)
さすがに Bind8 に戻す訳にもいきません。

ん〜、どうしようかなぁ。Windows Web Server 2008 又は Windows Server 2008 Standard を買おうと思っていましたので、それに変更しようとは思ったのですが、脳内稟議書では今年後半くらいに予定していましたので(2008 に変更する時はハードウェアも変更する予定なので)取りあえず保留。急に 2008 とサーバー機を買える程予算もありませんし・・・

うーんうーん、「そうだ!VirtualBox とか Virtual PC で適当に Linux サーバを動かして、それで Bind動かそう!」と思いつきます。
仮想PCでエコだし(なにか違う)

開発マシンは Windows XP Pro なので先日から少し遊んでいる VirtualBox にて早速インストールしてみます。
候補としては Ubuntu と Debian だったのですが、Ubuntu は上手くインストールが出来ない(インストール用カーネルの起動でエラーが出ます)ので Debian 5.0.2 (Lenny) にします。Debian JP Project のページから安定版の ISO イメージをダウンロードして VirtualBox にマウントして起動。
DNS サーバーだけ選択してサクサクとインストールは進み(大体10〜15分程度ですか)無事起動。
Bindは DDNS のセキュリティホール対策済みの 9.5.1-P3 が入りますので、残りは apt-get で telnet-server と telnet-client と ftp-client のみインストールします。
勝手知ったる Bind9 ですので、現在のゾーンファイルを ftp でサーバーから引っ張ってきて /etc/bind/named.conf を書き直して・・・
あぁ、vi だ、vi 。懐かしい。というかコマンドをド忘れしてる(^-^;
昔の Soralis とか SPARC Station 以来触っていないからなぁ。emacs を入れようと思いましたが、取りあえず : と wq だけは覚えていたので適当に思い出しつつ vi で named.conf を書き直しします。

設定を確認して、/etc/init.d/bind9 restart で再起動。nslookup 等で設定と応答を確認して無事設定は終了。

さて、Windows 2000 Server に VirtualBox をインストール・・・インストーラが起動しません。どうやらサポートしていないようです。
ならば!と、Virtual PC のインストール・・・ちゃんとインストーラに「対応していませんぜ、旦那」とお断りされます。
ならばならば!と、VMware Player をインストール・・・は出来ましたが、Debian 起動しません。(どうやら、/dev/hda0 を認識しない模様)

あー、もうメンドクサイなぁ!仮想PCはあっさりと諦めて Bind9 の不具合って named.exe がクラッシュして停止するんでしょ?停止してもいいよ。named を再起動するサービスアプリ作るから。と SCM で Bind を監視して停止していたら再起動させるアプリを30分ほどで1本でっち上げる。
ちゃんと動いているようですので、これでいっか!とひとまずOKにしてしまいます。

閑話休題

やっぱり気持ち悪い(^-^;

そもそも、DNS サーバーは akisoftware.jp を使う為に設置しているのですが、レジストラである JPDirect の DNS サービスを使えば別に自前で DNS サーバーを運用する必要はありません。もうそれでいいや。と思った訳ですが、JPDirect の DNS サービスは A MX CNAME の3種類のレコードしか設定が出来ません。SPF などで使う TXT レコードの設定が出来ませんので、やっぱり自前で DNS サーバーを動かしたい。

と言うことで、近所のPC屋に走ります。
どうせ DNS サーバーだけなので省電力PC で組もうということで、Atom 搭載の Intel D945GCLF2 と適当な ITX 用ケースとメモリ(1G)、HDD(SATA 160G)を購入。(3万円で余裕でお釣りが返ってきます)ITX用ケースは、株式会社サイズから販売されている SCY-201-ITX(250W の電源を搭載しています)です。

ちらっと富士通の Windows 2003 Server Standard(5CAL)付きのサーバー機専用機が未開封新品で現品限り \40,000で売っていたので激しく心動かされるものがありましたが、筐体がフルタワー並に大きかったので断念。
メモリも ECC 付き専用だったし。同梱の 2003 Server が OEM版じゃ無ければ即購入だったのですが・・・(そんな旨い話は無い)

ITXの組み立ては後部パネル付けて、ボード取り付けて(Atom は搭載済み)、メモリ指して、HDD 取り付けて結線して、インストールに使うだけなので IDE の光学ドライブを開発マシンから取りあえず引っぺがして完了。

折角なので Debian 5.0.2 の 64bit 版ISOイメージをダウンロードして CD に焼いて起動。
ザクザクとインストールして、DNS サーバーの完成(慣れた人がやれば組み立てから完了まで 30分かからないでしょう)
途中ネットワークインストールの為に理研サーバーに接続しようとしましたがなぜか接続が出来ない。おかしいなぁと思っていたら HUB が USB HUB で開発マシンの電源が入っていないと HUB も機能しないというオチがあり 5 分ほど悩んだりもしましたが・・・
Atom CPU ってことで、インストール出来るかな?と心配ではありましたが(事前に調べれば良いのですが、思いつきで走りましたので)それは杞憂で済みました。省電力で音も静かで発熱も余り無いようです。

光学ドライブを外して単独で起動することも確認しましたので、サーバーがあるHUBに再接続。従来の DNS サーバーはスレーブサーバーとして動かすことにします。(ICS Bind の不具合は master で動かしていると発生するとか?)

ここまでやってから、Windows サーバーじゃないんだから ICS Bind じゃなくて djbDNS にすればよかったなぁ、と思ったりもしましたが、まぁいいや。気が向いたら djbDNS に変更することにします。

このサーバーも Windows Server 2008 導入まで使う程度ですが、役目を終えたら余っている XP Pro でも入れて端末にしてしまう予定です。
Atom は余り CPU パワーは無いのですが、それでも Pen4 2.0GHz 程度のパワーはあるようなので XP Pro でも充分使えるそうです。

[更新日付:2010/11/03 03:05:22]
トラックバックを見る(0)
Log Link [https://akisoftware.com/cgi-bin/blom.exe?akisoft+sl+6e7a4df5a111f5b058ac316059fd68f2b11b396e]
TB Link [https://akisoftware.com/cgi-bin/blom.exe?akisoft+tb+6e7a4df5a111f5b058ac316059fd68f2b11b396e]

記事へのコメント

コメントはありません

名前
コメントキー
 
コメントする時はキーを正確に入力して下さい
コメント
アドレスを含んだコメントはできません
© 2008-10 A.K.I Software all rights reserved.