BIND9.3.4が起動できない

BINDのセキュリティ強化？

BINDを9.3.4にバージョンアップした時の話。
BIND9.3.4インストール後、namedが起動できないワナに陥った。

rndc.key作成したりゾーンファイルを配置後、service コマンドを使ってnamedを起動してみると「失敗」する。

BIND UDPクエリソースポートのランダム化

named起動時にログに何かはき出されていないか、syslogを観察してみる。

Aug 18 23:37:27 wnsvr named[18965]: /etc/named.conf:38: using specific query-source port suppresses port randomization and can be insecure.
Aug 18 23:37:27 wnsvr named[18965]: command channel listening on 127.0.0.1#953

と出ていた。このエラーメッセージを元に、ネットで調べていると
http://www.jp.debian.org/security/2008/dsa-1603　に情報があった。

この更新では Debian の BIND 9 パッケージに推奨された対応策 (UDP クエリソースポートのランダム化) を実装しました。この変更は攻撃者が推定しなければならない探索空間のサイズを、後方互換性を守る形で拡大し、攻撃の成功を困難にします。
：
このようなメッセージが吐かれている場合、設定から対象となる行を削除するか、記載されているポート番号を "*" に置き換えてください (例えば、 "port 53" を "port *" に書き換える)。

との事で、うちのサーバのOSはDebianではないが、同様の対応は入っていると思われた。named.confファイルには

query-source address * port 53;

と53ポートを指定していたのだが、この指定が良くなかったようだ。指示されたようにnamed.ｃｏｎｆを書き換えて再起動してみる。しかし、syslogには特にエラーは出なくなったが、まだ「失敗」となって起動できない。
namedのログを別にはき出す設定にしているので、そちらを観察してみる。そうすると

19-Aug-2008 00:03:24.887 general: debug 1: now using logging configuration from config file
19-Aug-2008 00:03:24.887 general: critical: couldn't open pid file '/var/run/named/named.pid': Permission denied
19-Aug-2008 00:03:24.887 general: critical: exiting (due to early fatal error)

と、今度はアクセス権の問題がわざわいしていたようだ。
ただ、ディレクトリ /var/run/named/ のパーミッションを見直しても現象は変わらず、何がいけないか？？と悩んでいたが、chrootしている事を思い出す。
ディレクトリ /var/named/chroot/var/run/named/ のアクセス権を見直して、無事起動できた。
　

2008/09/02 18:05

トラックバック

このエントリーのトラックバックURL:
http://www.wingnotes.net/mt/mt-tb.cgi/152

コメント

コメントする

(古い記事) « LinuxからWindows共有フォルダにアクセスする | サイトTOP | MySQLの使い方 » (新しい記事)