2010-08-12 Thu

Unbound の dnssec 対応 はてぶ

時期をはずしてしまってるけど,Unbound の dnssec 対応をしてみた.

- Unbound: Howto enable DNSSEC
  http://www.unbound.net/documentation/howto_anchor.html
に書かれてる通りにやっただけ.

# cd /etc/unbound
# echo ". IN DS 19036 8 2 49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5" > root.key
# chown unbound:unbound root.key


root.key は Unbound が更新できるように読み書きができるようにしておく.

/etc/unbound/unbound.conf で root.key を読むように server セクションに設定.

# root key file, automatically updated
auto-trust-anchor-file: "/etc/unbound/root.key"


確認は以下のような感じで,AD (Authenticated Data) フラグがあればいいらしい.

$ dig +dnssec iis.se. @localhost | grep flags
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 1
; EDNS: version: 0, flags: do; udp: 4096


ここ(ftnk.jp)は設定してないので,AD フラグがない.

$ dig +dnssec ftnk.jp @localhost | grep flags
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 1
; EDNS: version: 0, flags: do; udp: 4096


- Unbound: Howto enable DNSSEC
  http://www.unbound.net/documentation/howto_anchor.html

- FreeNAS に Unbound をインストール [2010-05-11-1]
- unbound を使ってみる [2008-12-15-1]

2009-07-12 Sun

Unbound 1.3.1 にアップデート はてぶ

Unbound 1.3.1 にアップデート

bug fix がメインで新機能は以下の 2 点.

- unbound_munin_ in contrib uses ps to show total memory rss if sbrk hack does not work.
- Added build-unbound-localzone-from-hosts.pl to contrib, from Dennis DeDonatis. It converts /etc/hosts into config statements.

build-unbound-localzone-from-hosts.pl は /etc/hosts から
以下のような設定を生成してくれる perl スクリプト.

server:

local-zone: "example.com" transparent

local-data-ptr: "127.0.0.1 localhost.localdomain"
local-data: "localhost.localdomain A 127.0.0.1"
local-data: "localhost A 127.0.0.1"

local-data-ptr: "::1 localhost6.localdomain6"
local-data: "localhost6.localdomain6 AAAA ::1"
local-data: "localhost6 AAAA ::1"




munin 用 plugin の使い方

Plugin の準備
contrib/unbound_munin_ を /etc/munin/plugins/unbound としてコピー.
さらに以下のように ln しておく.

ln -s unbound unbound_munin_by_class
ln -s unbound unbound_munin_by_flags
ln -s unbound unbound_munin_by_opcode
ln -s unbound unbound_munin_by_rcode
ln -s unbound unbound_munin_by_type
ln -s unbound unbound_munin_histogram
ln -s unbound unbound_munin_hits
ln -s unbound unbound_munin_memory
ln -s unbound unbound_munin_queue


/etc/munin/plugin-conf.d/munin-node に以下を追加.

[unbound*]
user root
env.statefile /var/lib/munin/plugin-state/unbound-state
env.unbound_conf /etc/unbound.conf
env.unbound_control /usr/sbin/unbound-control
env.spoof_warn 1000
env.spoof_crit 100000


で,munin-node を restart.

unbound の準備
まず remote control 用の setup

# unbound-control-setup


/etc/unbound.conf の編集

extended-statistics: yes


control-enable: yes


- 日本Unboundユーザ会 » Unbound 1.3.1リリース
  http://unbound.jp/?p=370

ChangeLog 最新ページ