_ うわ、スノーシュー楽しいかも。今日はレンタルのだけど、自前の買っちゃおうかしらん。よく晴れてちっとも寒くなく、風もほとんどなくたいへん気持ちいい1日でした。 ルート。
_ うわ、スノーシュー楽しいかも。今日はレンタルのだけど、自前の買っちゃおうかしらん。よく晴れてちっとも寒くなく、風もほとんどなくたいへん気持ちいい1日でした。 ルート。
_ .jp でも DNSSEC がはじまったことだし、unbound で DNSSEC を試してみる。あらかじめ言っときますが、何の役にも立たないネタ記事です。
_ まず、ゾーンファイルを用意する。
% cat localhost $ORIGIN localhost. $TTL 86400 @ SOA @ nobody 1 86400 43200 604800 1800 NS @ A 127.0.0.1 AAAA ::1_ 鍵を作る。今回はテストなので、KSK/ZSK にわけず、単一の鍵で。unbound には鍵生成のツールがないので、今回は unbound と同じく nlnetlabs 製の ldnsを使う。
ldns-keygen は dnssec-keygen と違っていっしょに DS ハッシュも作ってくれるのがうれしいんだけど、秘密鍵のパーミッションが world readable だよ…。% ldns-keygen -a RSASHA256 -k -b 2048 localhost Klocalhost.+008+60652 % ls Klocalhost.+008+60652.ds Klocalhost.+008+60652.private Klocalhost.+008+60652.key_ 署名する。鍵がひとつしかないんで、SEP フラグの立った鍵(いわゆる KSK)でゾーン全体を署名する。
localhost.signed ができた。% ldns-signzone -A localhost Klocalhost.+008+60652_ この .signed なゾーンを、unbound に食わせる。
# unbound-control local_data_remove localhost. # sed 's/ *;.*//;/^$/d' localhost.signed | while read rr; do unbound-control local_data $rr; done_ じゃ、試してみよう。名前解決してみると、…ありゃ、ダメだな。A を聞いたときにいっしょに RRSIG が返ってこないから署名検証のしようがない。やる前から NSEC はダメだろーなーとは思ってたけど、それ以前の問題だった。よくよく考えてみたらあたりまえなんだけどね。
_ 教訓: 権威サーバとキャッシュサーバは分離しよう(←そういう問題じゃない)。
_ なんか新しいサービスがリリースされるので早起きして仕事にいった。早いといっても通勤ラッシュのど真ん中の時間帯で、世間一般的にはちっとも早くなんかないんだけど。んで、朝からむっちゃ眠い目をこすりながらやることは、なし。自分がやらなきゃいけないことは先週のうちにぜんぶ済ませてあるので、ログを眺めてるだけ。
_ 事前にそれなりの数の問い合わせがあったわりには、本日中に使いはじめてくれるお客さんはゼロ。まあそんなもんだよね。こんなの先を争って導入しなきゃいけないもんじゃないよ。他人に聞かれたら営業スマイルで常識でしょ、と答えてさしあげるけど:-)。
_ つーことで、眠いので、寝る。
