ちょっと 確認 しておきましょう まず rndc.key です
rndc.key 鍵の 作成方法 は 2種類有ります まず その1
rndc-confgen を 使用する方法
# /usr/local/sbin/rndc-confgen -a -b 512
# cat rndc.key
key "rndc-key" {
algorithm hmac-md5;
secret "+w4GUtUQVbzI4c+wn1cGcxDy+KpOOlv884l9KmOX\
Wid1QuclURVmSOmOg1iddXPNiQybqaauVmUPk3Bc0Oc0Tw==";
};
少し オプションをつけると これは 標準出力に 出されて 残りません 見る だけです
# /usr/local/sbin/rndc-confgen -b 512 # Start of rndc.conf key "rndc-key" { algorithm hmac-md5; secret "bY2zFBptzsu1c5KFTyT6mRSVvFCNkccng3fL\ A0IfklQLZnTrz1TUpZb1UpAfzLGXwwQWq1WrIxPVRAX0UbKrzA=="; }; options { default-key "rndc-key"; default-server 127.0.0.1; default-port 953; }; # End of rndc.conf # Use with the following in named.conf, adjusting the allow list as needed: # key "rndc-key" { # algorithm hmac-md5; # secret "bY2zFBptzsu1c5KFTyT6mRSVvFCNkccng3fL\ A0IfklQLZnTrz1TUpZb1UpAfzLGXwwQWq1WrIxPVRAX0UbKrzA=="; # }; # # controls { # inet 127.0.0.1 port 953 # allow { 127.0.0.1; } keys { "rndc-key"; }; # }; # End of named.conf
以下の ものからは 読み取り難いですが
# /usr/local/sbin/rndc-confgen -h Usage: rndc-confgen [-a] [-b bits] [-c keyfile] [-k keyname] [-p port] [-r randomfile] [-s addr] [-t chrootdir] [-u user] -a: generate just the key clause and write it to keyfile (/etc/rndc.key) -b bits: from 1 through 512, default 128; total length of the secret -c keyfile: specify an alternate key file (requires -a) -k keyname: the name as it will be used in named.conf and rndc.conf -p port: the port named will listen on and rndc will connect to -r randomfile: a file containing random data -s addr: the address to which rndc should connect -t chrootdir: write a keyfile in chrootdir as well (requires -a) -u user: set the keyfile owner to "user" (requires -a)
そこで
# /usr/local/sbin/rndc-confgen -b 512 -r /dev/random -k rndc.key >rndc.conf # ls -l | grep rndc -rw-r--r-- 1 root root 607 Apr 1 16:00 rndc.conf # cat rndc.conf # Start of rndc.conf key "rndc.key" { algorithm hmac-md5; secret "HPQ+/KOpI5MgHns/qLEYKOo9x2DNnWSaKdRhtewGf7g9XSElAtQ2HUt\ DO+uD70yb3FPX4ikH/b58Mn/0p9owNQ=="; }; options { default-key "rndc.key"; default-server 127.0.0.1; default-port 953; }; # End of rndc.conf # Use with the following in named.conf, adjusting the allow list as needed: # key "rndc.key" { # algorithm hmac-md5; # secret "HPQ+/KOpI5MgHns/qLEYKOo9x2DNnWSaKdRhtewGf7g9XSElAtQ2HUt\ DO+uD70yb3FPX4ikH/b58Mn/0p9owNQ=="; # }; # # controls { # inet 127.0.0.1 port 953 # allow { 127.0.0.1; } keys { "rndc.key"; }; # }; # End of named.conf
簡単にいえば
/usr/local/sbin/rndc-confgen -a -b 512
これで rndc.key が 作成される
/usr/local/sbin/rndc-confgen -b 512 -r /dev/random -k rndc.key >rndc.conf
これで rndc.conf が 作成 されて 其内部に rndc.key が 存在する
勿論 この場合 鍵の名前を rndc.key と想定しているのですが たとえば
# /usr/local/sbin/rndc-confgen -a -b 512 -k rndc-ki-name-nanntoka | date Sat Apr 1 16:10:03 JST 2006 # ls -l | grep rndc -rw------- 1 root root 154 Apr 1 16:10 rndc.key
この様に rndc.key のみ となり 名前の 指定は 出来ない また この様に
# /usr/local/sbin/rndc-confgen -a -b 512 -r /dev/random -k rndc.key # ls -l | grep rndc -rw-r--r-- 1 root root 0 Apr 1 16:18 rndc.conf
-a オプションを つけると ファイルが 出来ない
rndc.key を 作成 するのみ rndc.conf は作成 されない
# rndc-confgen -a -b 512 && date Sat Apr 1 16:25:08 JST 2006 # ls -l | grep rndc -rw------- 1 root root 141 Apr 1 16:25 rndc.key
-a オプションを つけると ファイルが 作成されない またリダイレクトし ないと 標準出力に でてしまう この場合 鍵の 名前の 指定は 有効
# /usr/local/sbin/rndc-confgen -b 512 -r /dev/random -k rndc.key >rndc.conf && date Sat Apr 1 16:31:10 JST 2006 # ls -l | grep rndc -rw-r--r-- 1 root root 607 Apr 1 16:31 rndc.conf
わかり 難く いえば
という扱いで よいのでは ないか と 思います また このうちの ”rndc-confgen -a -b 512 ”で rndc.key のみ 作成し ”named.conf ”にて ”include "/etc/rndc.key";” の 扱いを しておけば 何時でも 鍵の 入れ換え は 出来る 勝手に 作成 すれば 良い 後 パーミッションを 下記の様に 設定 し てみよう 色々 見ると 640 に するなんて 物も有るが これで いって 見よう 600 である rndc で 問題となれば 再度 考えよう
# chown named.named rndc.key # ls -l | grep rndc -rw------- 1 named named 141 Apr 1 16:25 rndc.key
再起動の 後
# cat messages | grep named Apr 1 16:51:16 lx named[66]: starting BIND 9.2.3 Apr 1 16:51:16 lx named[66]: using 1 CPU Apr 1 16:51:16 lx named[66]: loading configuration from '/etc/named.conf' Apr 1 16:51:17 lx named[66]: no IPv6 interfaces found Apr 1 16:51:17 lx named[66]: listening on IPv4 interface lo, 127.0.0.1#53 Apr 1 16:51:17 lx named[66]: listening on IPv4 interface eth0, 192.168.0.5#53 Apr 1 16:51:17 lx named[66]: listening on IPv4 interface eth1, 192.168.2.1#53 Apr 1 16:51:17 lx named[66]: command channel listening on 127.0.0.1#953 Apr 1 16:51:18 lx named[66]: zone 0.0.127.in-addr.arpa/IN: loaded serial 20030121 Apr 1 16:51:18 lx named[66]: zone 0.168.192.in-addr.arpa/IN: loaded serial 20030121 Apr 1 16:51:18 lx named[66]: zone bcnet.ne.jp/IN: loaded serial 20030121 Apr 1 16:51:18 lx named[66]: zone localhost/IN: loaded serial 20030121 Apr 1 16:51:18 lx named[66]: running
確認
$ dig @192.168.0.5 cricrima-sa.no-ip.info ... ;; ANSWER SECTION: cricrima-sa.no-ip.info. 60 IN A 220.109.178.190 ... /* TTL 60 sec? */ ;; Query time: 2212 msec ;; SERVER: 192.168.0.5#53(192.168.0.5) ;; WHEN: Sat Apr 1 17:01:03 2006 ;; MSG SIZE rcvd: 167 $ dig @192.168.0.5 cricrima-sa.no-ip.info ... ;; ANSWER SECTION: cricrima-sa.no-ip.info. 1 IN A 220.109.178.190 ... /* TTL 1 sec? */ ;; Query time: 1 msec ;; SERVER: 192.168.0.5#53(192.168.0.5) ;; WHEN: Sat Apr 1 17:02:02 2006 ;; MSG SIZE rcvd: 167 $ dig @192.168.0.5 cricrima-sa.no-ip.info ... ;; ANSWER SECTION: cricrima-sa.no-ip.info. 60 IN A 220.109.178.190 ... /* TTL 60 sec? */ ;; Query time: 2200 msec ;; SERVER: 192.168.0.5#53(192.168.0.5) ;; WHEN: Sat Apr 1 17:28:19 2006 ;; MSG SIZE rcvd: 167
鍵の ファイル と その中に出来る 鍵の 名前 に 注意
にゃんたろう 拝!
2006年 3月30日 (木) 23:30:05 JST 作成