タグ「dns」が付けられているエントリー

今日3時間くらい悩んだ件について

| 今日3時間くらい悩んだ件について

酔って帰ったら閃いた.正に神の一手(って程ではない).解決方法は単純で,内部用DNSにGoogle Apps用のMXレコードを書き加えただけ.シュークリーム分またはシガール分が足りなかったのかなぁ.日中は全然気が付かなかった.こんな簡単なことで3時間も無駄にしてしまった.どうしようもない仕事してる振りだな.

今日も適度にチューニング.残る調整は,上位管轄DNSの設定とGoogle Appsへの丸投げとSquidの確認かな.最大の難関はサイトのデザインがテンプレそのままなのをなんかすることか.デザインセンスがないから,どうにもできないが.

BINDがエラー吐きまくり
BINDが以下のようなエラーを吐きまくっている.以下,ログ.長すぎるので,適宜改行.

Nov 19 11:20:49 neodymium named[5139]: too many timeouts resolving
'195.206.188.210.in-addr.arpa/PTR' (in '206.188.210.in-addr.arpa'?): disabling EDNS
Nov 19 11:20:50 neodymium named[5139]: too many timeouts resolving
'178.68.125.75.in-addr.arpa/PTR' (in '125.75.in-addr.arpa'?): disabling EDNS

そうそう.前にサーバ名はhydrogenとか言いましたけど,hydrogenは無線LANルータが陣取っているので,無難なneodymiumを割り当てました.IPアドレスを推測しないでね><.

閑話休題.エラーが起きた時は,too many timeouts resolving disabling EDNSって,そのままググればいいと思うよ.だって,そのためにエラーをそのまま貼り付けているわけだし.で,色々な情報に出会うわけだが,serverでedns noするのも,optionsでempty-zones-enable noするのも,両方ともに効果がなかったので,仕方がないので,以下の方法で対処した.根本的な解決ではないなぁ・・・.

とりあえずnamed.confに、

logging {
  category edns-disabled { null;};
};

と書いておけば、以降は記録されなくなるらしい。

BIND9.5で謎のログ: さかなでブログ

対処療法的だなぁ.ついでだから,category lame-servers { null; };も合わせて書いておく.

SSLサーバ証明書をゲットしよう!
安さ爆発はどの程度なのかを確認するため,以前にまとめたように,最安と思われるFlySSLを買ってみる.$9.99/年なので,$38/年でルートがmd5RSA-1024のヤツよりはいいと思います.値段的な意味で.

まず,ご存じのように,CSR(Corporate Social Responsibility; 企業の社会的責任)を作成します.っておい!違う違う.意味的にはあってるような,あってないような・・・.正しくはCSR(Certificate Signing Request; 証明書署名要求)です.作り方は,この辺この辺を参考にするといいと思います.一応,手順としては,

/etc/ssl/private# openssl genrsa -des3 -out FQDN.key 1024
Generating RSA private key, 1024 bit long modulus
.....++++++
................................................++++++
e is 65537 (0x10001)
Enter pass phrase for FQDN.key:
Verifying - Enter pass phrase for FQDN.key:

/etc/ssl/private# openssl req -new -key FQDN.key -out FQDN.csr
Enter pass phrase for FQDN.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:JP
State or Province Name (full name) [Some-State]:fuga
Locality Name (eg, city) []:hoge
Organization Name (eg, company) [Internet Widgits Pty Ltd]:fuga
Organizational Unit Name (eg, section) []:hoge
Common Name (eg, YOUR name) []:FQDN
Email Address []:webmaster@FQDN

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

/etc/ssl/private# openssl rsa -in FQDN.key -out nopass_FQDN.key
Enter pass phrase for FQDN.key:
writing RSA key

/etc/ssl/private# cat FQDN.csr
-----BEGIN CERTIFICATE REQUEST-----
なんやかんや
-----END CERTIFICATE REQUEST-----

rootで作業するなとかいうツッコミは華麗にスルーします.一応,鍵のパスフレーズを外しておきましたけど,外さない方がセキュリティ的にはいいと思います.

あとはFlySSLの方にCSRを投げつければ良いのだが,ドメイン所有者を確認するために,指定のメールアドレスに確認メールを送るから,どこに送ればいいか,選べと言われる.選択肢が,admin@とかroot@とかwebmaster@とかなっている.つまり,なんだ.メルサバを建てないと申請が進まない・・・.今日もsnakeoilで頑張る!

そろそろやることもなくなってきた.今日はDNS(BIND9)の設定と命名規則.

BIND9
って書いたけど,まだドメインが決まってないので,フィーリングで作ってる.ということは,本番で作り直しになる可能性があるということ.大したことではないか.参考にしたのはここ.といっても,環境によって違うので,なんともかんとも.

命名規則
BIND9の話と関連して,ホスト名をどうしようかっていう話.前所属では台風の名前を付けていた.命名規則を決める上で重要なのは,

  • 通し番号がついていて,
  • 英字(もしくはローマ字)表記できて,
  • そこそこの数がある

こと.星座の名前や都市の名前を付ける人も多いが,個人的には通し番号が振られている方が管理しやすい.だって,IPアドレスに対応させちゃうもん!

で.また台風の名前でも良いのだが,それでは芸がないので,調べてみた.色々とあるものだ.これらの中から,今回は元素名を付けることにした.理由は上記3条件を満たしているから.ポケモンでもいいんだけどね(ぇ.

というわけで,サーバのホスト名はhydrogenとなりました.次はheliumか.

って,今更だけど,こんなことを独断で行っているけど,学生に勉強させなくて良かったんだろうか.教育的な配慮を考えれば,サーバを建ててみるなんて,滅多にできない上に,貴重な経験だと思うのだが・・・.といっても,時期的に今は忙しくて無理か.といっても,そんなこといったら,いつでも忙しいか.

関連:
「萌えの領域がまさかの元素!w」 - アキバBlog

プロフィール

e-m@il @ddress