サーバーのブログ記事

何が駄目って、上司の判断。

DNSプロトコルの脆弱性が発見されて、８月７日にその詳細が公表予定だったのは既知の通り。

ところが某所のBlogにて情報のリークがあったので、既にインターネット上のDNS等はいつ攻撃にさらされてもおかしくないのが現在の状況。

秒間1000回の攻撃を食らうと約９時間もあれば１００％ポイズニング攻撃が成功するのだ。５０％で良ければ38分だそうだ。2000回なら更にその半分だね。

当然ながら、そんな情報を入手しているのだから一刻も早くパッチを当てなきゃならない。

メンテナンス予定としたのは８月上旬。でも、緊急メンテナンスとして営業時間中であっても対処すべきって思うのが技術屋としてのあたしの意見。

ところが例のパワハラ上司は「顧客にアナウンスした期日の方が大事。８月上旬にせよ」との判断。

だーかーらー。それじゃ遅いの！攻撃されてもそれを検知できないの！！それがどれだけ怖いことか分からないの？？

まぁ、なんとか少しだけでも対処は早めるスケジュールにして貰いましたが・・・・久々に呆れて物も言えないですよ。

しかも技術系の本部長は営業出身だから更にちんぷんかんぷん。駄目だこりゃー

一応IPv6の研究はしていたのだけれども、突然「IPv6のトライアルを始めるから必要なサーバ群を用意しておいて」とのお達しがっ！

まだオライリーの本を読んでいるところなのにー（＾＾；；；　しかもDNSプロトコルのセキュリティホールが良い感じにやばいから早めに入れ替えなければと言うのに（涙

IPv6 reachableなサーバは流石に数台しかないから、既存サーバの邪魔をしないようにchrootして更にポートも変更して試験開始。

ISCからソースをダウンロードして、./configure --prefix=/usr/local/bind とでもやって、makeとmake install。
（ここで本当は一手間かけると後の運用が格段と楽になるけれど、飯の種なのであえて省略ｗ）

chrootさせるために、$CHROOT/devにmknodを実施。

(FreeBSDの場合)
# mknod null c 2 2
# mknod random c 249 0
# mknod zero c 2 12
# chmod 666 *

/etc/localtime をchroot先のetcにコピー

named.conf

include "/etc/rndc.key";
include "/etc/acl.list";
include "/etc/logging.conf";

options {
directory "/etc/zone";
pid-file "/usr/local/bind/var/run/named.pid";
dump-file "/usr/local/bind/var/tmp/named_dump.db";
statistics-file "/usr/local/bind/var/tmp/named.stats";
version "";
listen-on port 1053 {
any;
};
listen-on-v6 port 1053 {
any;
};
recursion no;
transfer-format many-answers;
max-ncache-ttl 1800;
blackhole {
"auscert";
};
# End of options
};

zone "." {
type hint;
file "../root.cache";
};

zone "localhost" {
type master;
file "master/forward/localhost";
};

zone "0.0.127.in-addr.arpa" {
type master;
file "master/reverse/ipv4/localhost";
};

zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" {
type master;
file "master/reverse/ipv6/localhost";
};

master/forward/localhost

$TTL 86400
@ IN SOA localhost. hostmaster.localhost. (
1 ; serial
86400 ; refresh
600 ; retry
604800 ; expire
3600 ; negative TTL
)

IN NS localhost.

IN A 127.0.0.1
IN AAAA ::1

master/reverse/ipv4/localhost

$TTL 86400
@ IN SOA localhost. hostmaster.localhost. (
1 ; serial
86400 ; refresh
600 ; retry
604800 ; expire
3600 ; negative TTL
)

IN NS localhost.
1 IN PTR localhost.

master/reverse/ipv6/localhost

$TTL 86400
@ IN SOA localhost. hostmaster.localhost. (
1 ; serial
86400 ; refresh
600 ; retry
604800 ; expire
3600 ; negative TTL
)

IN NS localhost.
1 IN PTR localhost.

まずはここまででlocalhostの名前解決が正逆両方とも出来る事を確認。

localhost.の正引き

# dig @::1 -p 1053 localhost. A +norecurse

; <<>> DiG 9.2.3 <<>> @::1 -p 1053 localhost. A +norecurse
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7934
;; flags: qr aa; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1

;; QUESTION SECTION:
;localhost. IN A

;; ANSWER SECTION:
localhost. 86400 IN A 127.0.0.1

;; AUTHORITY SECTION:
localhost. 86400 IN NS localhost.

;; ADDITIONAL SECTION:
localhost. 86400 IN AAAA ::1

127.0.0.1の逆引き

# dig @::1 -p 1053 1.0.0.127.in-addr.arpa. PTR +norecurse

; <<>> DiG 9.2.3 <<>> @::1 -p 1053 1.0.0.127.in-addr.arpa. PTR +norecurse
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34686
;; flags: qr aa; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2

;; QUESTION SECTION:
;1.0.0.127.in-addr.arpa. IN PTR

;; ANSWER SECTION:
1.0.0.127.in-addr.arpa. 86400 IN PTR localhost.

;; AUTHORITY SECTION:
0.0.127.in-addr.arpa. 86400 IN NS localhost.

;; ADDITIONAL SECTION:
localhost. 86400 IN A 127.0.0.1
localhost. 86400 IN AAAA ::1

::1の逆引き

# dig @::1 -p 1053 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0
.0.0.0.ip6.arpa. PTR +norecurse

; <<>> DiG 9.2.3 <<>> @::1 -p 1053 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa. PTR +norecurse
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 25948
;; flags: qr aa; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2

;; QUESTION SECTION:
;1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa. IN PTR

;; ANSWER SECTION:
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa. 86400IN PTR localhost.

;; AUTHORITY SECTION:
0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa. 86400 IN NS localhost.

;; ADDITIONAL SECTION:
localhost. 86400 IN A 127.0.0.1
localhost. 86400 IN AAAA ::1

おし、これで基本はOK。

IPv6では先頭64ビットが必ずネットワークアドレスなので、それを考慮して逆引きゾーンファイルを作成していきましょうかね。

いかんなー、午前中はエンジンが掛からないから仕事はしないと決めていたのにｗ

さて、午後になったので少しは動くか。

一旦現状で動いているBINDを停止。んで、新しく動かしていたBINDのポート番号を1053から53に変更して起動・・・・・しない？？

Jul 24 named[9228]: starting BIND 9.5.0-P1 -t /usr/local/chroot -u bind
Jul 24 named[9228]: command channel listening on 127.0.0.1#953
Jul 24 named[9228]: running
Jul 24 kernel: pid 9228 (named), uid 53: exited on signal 11

うーん、messagesからは原因が掴めないなぁ・・・

ポートを元の1053に戻すとそのまま動作するから特権ポートに対する権限問題かなぁ。

最近はWebからアクセスすると

Server Error in '/Home' Application.
--------------------------------------------------------------------------------

Runtime Error
Description: An application error occurred on the server. The current custom error settings for this

こんな表示が出てしまいWeb経由ではまともに動作していないWHSです、こんにちは。

さて、待望のPP1がリリースされましたよ－！

http://www.microsoft.com/downloads/details.aspx?FamilyId=1A6AEF46-DB57-401F-814F-6EFA26E7A1E8&displaylang=en

demigration.exeのCPU使用率がやたらと高い問題とか、解消されていると良いなぁ・・・・

あれ？しばらくＨＤＤの相場を見ないうちにとんでもなく安くなってる？

1TBで13800円ですかっ！！！最近車のパーツばかり見ていたから、更に安く感じてしまうのは金銭感覚麻痺状態ですよな＾＾；

SCSA認定キットには、A4サイズの認定証とクレジットカードサイズの認定証の２種類が入っていました。

うちの会社じゃ１円にもならない上に自腹で取得したので、認定証をカラーコピーして席の隣にある柱に貼り付けてやりましたｗ

そういえばこういった資格系のロゴを名刺に入れる事もうちは禁止なんだよなぁ・・・

なんと、パソコン通信BBSからインターネット版に移行して10年が経過してしましました。
パソコン通信の時代から含めれば20年近く・・・ｗ

さて、そんな記念すべき日に某しゃる氏からメッセージが。

「ときに・・・おたくのmmn.nu引けないんですが。」
「やめました？w」

まさかー、やめるわけ無いじゃないですか。いったい何の事を言っているのやら。

「ぱる＠会社 の発言:
　えー、金ははらって・・・・」

ここでmmn.nuドメインを確認。

Renewal of mmn.nu

Date Registered: 01-Jul-1998
Expiration Date: 01-Jul-2008

あれ！昨日でドメインの期限が切れてる！！

慌ててクレジットカードで2年分の６０ユーロを入金。

Renewal information for mmn.nu

Status: Active
Date Registered: 01-Jul-1998
Expiration Date: 01-Jul-2010

ふぅ、これで2010年までは安心だ。

しかし、記念すべき10周年になんたるイベントフラグ！ｗ