BIND全般

■掲示板に戻る■ 全部 1- 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 最新50

レス数が1000を超えています。残念ながら全部は表示しません。

BIND全般

1 ：　：2001/07/12(木) 23:12: 魔術師の溜まり場です
113 ：名無しさん＠お腹いっぱい。 ：01/11/14 15:40: >>112
それって BIND とか DNS と関係あるの?
dns*.dion.ne.jp からのアクセスだからといって DNS のアクセスとは限らんでしょ?
114 ：名無しさん＠お腹いっぱい。 ：01/11/14 16:07: >>113
確かにそだね。

ただ、DION の DNS server からこんな request 来たこと
今までなかったし、DION の DNS server が crack
されたっていう話も聞かないし…。

どんな内容なのか log を取っておいていなかったのが
まずかったなぁ。
115 ：名無しさん＠お腹いっぱい。 ：01/11/14 16:12: DNS queryがtimeoutした後で返事が返ってきてるってことはない?
116 ：113 ：01/11/14 16:14: >>114
でも port 53 にきたわけじゃないから log とっても DNS query かどうかも
わからないよね。いやそうでもないか。packet の中身調べたらわかるな。

じゃそういうことで頑張ってくれ。
117 ：名無しさん＠お腹いっぱい。 ：01/11/14 16:22: >>115
う～ん、port を変えて2分間に43connection
とか張らない思うよ。

>>116
そそ。scandetd だと packet の中身まで log を取る機能
はなかったと思うので、UDP 53 以外に dns*.dion.ne.jp
から来る packet を capture するように tcpdump を設定
しますか…。
118 ：名無しさん＠お腹いっぱい。 ：01/11/14 18:37: CIDRの逆引きがみっともないってのは確かだが、破綻ってのは言い過ぎでは？
使い勝手からCNAMEの利用が広まったのはBINDの責任でしょ。

あとrfc2317は個人的に気にくわんので。(w
rfc2181は間違っちゃいないと思うが、それを言い訳にrfc1035を無視するのは
なんつーか。
119 ：名無しさん＠お腹いっぱい。 ：01/11/14 18:38: ううむ。ヲレが管理していなかった mail server の log
を見たら、DION から SMTP の不正中継要求の嵐…。
ってことは、例の UDP request が IP address spoofing
か、実際に DION の DNS が crack されたかのどちらか
って可能性が高いなぁ。

http://www.dion.ne.jp/news/shougai.html を見ても
それらしいことは書いていないんだけど。
120 ：名無しさん＠お腹いっぱい。 ：01/11/14 18:42: つーか逆引きってどうよ?
121 ：名無しさん＠お腹いっぱい。 ：01/11/14 19:00: >>120

いらない。と個人的には思ってる。安直な考え？
122 ：釈、命 ：01/11/14 19:16: >>110
現状では、空白をいくつか入れてあります。また、「@」を入れる方法も試しましたが、ダメでした。test.domをいちいち書くのが面倒と言うことで$ORIGINを導入したかったのですが、うまくいかずこまったものです。
123 ：名無しさん＠お腹いっぱい。 ：01/11/14 21:44: >>120
いらないでしょー。
124 ：名無しさん＠お腹いっぱい。 ：01/11/14 22:35: うーむ。個人的には逆引き->正引きで元に戻らないIPアドレスにはお引き取り
願いたいなあ。
125 ：名無しさん＠お腹いっぱい。 ：01/11/14 22:39: >>124
なんで?
126 ：名無しさん＠お腹いっぱい。 ：01/11/14 22:52: >>125
なんとなく。あくまで気分なので「個人的には」ってことね。
逆にいらない理由も知りたいなあ。
127 ：123 ：01/11/14 22:57: >>126
必要性を感じないから、じゃだめ?

最近 BIND で walldns っぽい動きさせて遊んでる。
今のとこ問題なし。
>>124 みたいなのにも対応できる。

hoge.example.jp. IN A 192.168.12.34
34.12.168.192.in-addr.arpa. IN PTR 34.12.168.192.in-addr.arpa.
34.12.168.192.in-addr.arpa. IN A 34.12.168.192.in-addr.arpa.

本当は private address じゃないけど。
128 ：名無しさん＠お腹いっぱい。 ：01/11/15 04:52: 別に逆引き→正引きすることで特にセキュリティが
向上するわけでもないしねえ。
あ、DNS spoofing 防止効果が無いこともないか。

逆引きできないクライアントを本当に蹴る
ポリシでやってるとこを知ってるけどさ、
結局つなげなくなる場合を増やしているだけのような気がする。
連中に言わせると
「DNSの正引き逆引きが一致しないクライアントはマトモに
管理できてないところだ。そんなのは蹴ってよし。」
ということらしいが。
個人サイトならいいかもしれないけど、うちの大学のFTPサーバなんだよな…
129 ：名無しさん＠お腹いっぱい。 ：01/11/15 06:12: host名で認証してるなら必要だけど、そうなると更に正引きして詐称の
チェックが必要だしなぁ。

本来なら自分の身元を明らかにする意味でマナーとして必要だったけど、
今じゃDHCPなサーバがいくらでも転がってるし、せいぜいプロバイダが
わかりやすくなる程度の恩恵しかないのかも。
130 ：名無しさん＠お腹いっぱい。 ：01/11/15 07:03: >>129
プロバイダとドメイン名とは独立しているべきものだから、
whois を使えってことで終わっちゃわない?
131 ：123 ：01/11/15 07:41: 逆引きを詐称されて困るのは、そんなもので認証するからだよな。
ハナから逆引きを信用しなければ問題なし。

>>128
「逆引きできない→マトモに管理できてない」は正しいか?
ポリシーで逆引き書かない、って可能性を想像できないのかな、その連中は。
「マトモに管理できてない→蹴ってよし」もどうかと。
「IE 4.0 以上をご使用ください」に似たにおいを感じる。
132 ：99 ：01/11/15 09:54: >>118
> 使い勝手からCNAMEの利用が広まったのはBINDの責任でしょ。
もちろんそうだね。これについて BIND の責任は決して軽くはないと思う。
ていうか、reference 実装としての BIND の責任はもっと重いと思っている。
だからこそ、CIDR が出た時に ad hoc な解決法ではなく、
真っ当な解決法を提案すべきだったと思うんだけどね。
DJB がやってるのは
「BIND よりもちょっとだけましな ad hoc な解決法を思いついたよ。偉いでしょ」
っていってるのに過ぎない。ad hoc だという点では同レベルだ。

ちなみに俺は site 単位での権限の委任ができてないという点で、
DJB の解決法は気に喰わない。概念を軽視して実装に偏りすぎだと思う。
133 ：名無しさん＠お腹いっぱい。 ：01/11/15 10:03: >>131
逆引きして正引きして確認するのは別に問題ないよね。認証に使うんでなければ。

>>130
whois じゃ本質的に違わないような。アドレス割当の範囲を調べる?
なら、逆引きでも親をたどればすむと思うよ。
134 ：名無しさん＠Ｅｍａｃｓ ：01/11/15 10:28: BIND 逝ってよし!

---Dan
135 ：123 ：01/11/15 10:34: >>133
確認したいのなら確認しても別にいいんだけど、
なんで確認したいの?
136 ：133 ：01/11/15 10:48: >>135 単に確認したいから、だけど。藁
逆引きと正引きとが一致している時と一致しない時とで取り扱いを変えるってのは
あると思うんだけどね。一致しないから拒絶するっていうんじゃなくて。
例えば統計とりたい時とか。
で、一致してる時はそのまま受け入れて、一致しなかったら信用できないとして
捨てるなり、上位のアドレス範囲を持ってるところと同じとみなすとか。
ま、実際に俺がそんなことしてるわけじゃなくて、今適当にでっちあげた例だから、
そんなこと普通しねーよって思うかもしれないけどね。藁
137 ：名無しさん＠お腹いっぱい。 ：01/11/15 11:13: >>131
> ポリシーで逆引き書かない、って可能性を想像できないのかな、その連中は。
電話の発信者番号非通知と非通知拒否みたいなもんなんじゃないの?
逆引きを書かないのと逆引きできないホストを蹴るのと、どちらもポリシーとして
そんなに不自然じゃないと思う。

> 「マトモに管理できてない→蹴ってよし」もどうかと。
大学のFTPサービスだそうだから、好意でやってくれてるんだろうし、別にい
いんじゃないの?
企業で「蹴ってよし」をやってると顧客満足度が下がると思うけどね。

> 「IE 4.0 以上をご使用ください」に似たにおいを感じる。
俺は、「"IEuser@"をパスワードに使うIEではanonymous ftpサービスを利用で
きません」と似てると思う。
138 ：名無しさん＠お腹いっぱい。 ：01/11/15 11:38: >>133
要は、そんな程度の用途なら、whois あるから逆引き
なんていらないやんってことです。
139 ：133 ：01/11/15 11:57: >>138
それは「138 にとって」逆引きは必要ないっていってるだけですな。
俺的には逆引きあって whois ない方が困ることの方が少ないってことで。

逆引き撲滅キャンペーンじゃなければ別にどうでもいいです。
140 ：名無しさん＠お腹いっぱい。 ：01/11/15 12:12: >>132
ad hocというか、何も考えずに直球勝負というか。(w
設定方法がシンプルだったから出来た、現状ではベストな方法ではないかと。

ちなみにBIND使う時は
> 192/26.2.0.192.in-addr.arpa.
じゃなくて、
> 192-255.2.0.192.in-addr.arpa.
を委譲するようにしてる。ささやかな抵抗っつーことで。
141 ：133 ：01/11/15 12:18: >>138
書き忘れてた。俺が >>135 で書いたのは逆引きして正引きをする時の話であって、
逆引きについて書いたのではないということもわかってくれ。
こちらは whois では代わりにならない。
142 ：名無しさん＠お腹いっぱい。 ：01/11/15 12:59: >>140
IPv4での失敗を踏まえてのことなんだろが、
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.INT
はいかがなものか。
143 ：名無しさん＠お腹いっぱい。 ：01/11/15 14:49: >>142
それでは最小でも8個単位での委譲しか出来ない為、広大なアドレス空間が
無駄になってしまう。
やはりここは8進などとケチ臭いことを言わず、素直に2進数で表現すべきだっ！

...確実に255オクテットより長くなるが、それは言わないお約束。
144 ：8進じゃないと思うがまあいいか ：01/11/15 15:44: >>143
ﾜﾗﾀ

ところで v6 アドレスの逆引きって本来下位 64 bit は委譲することはないはずだから
分割しないって選択もありだったと思うんだよね。キレイじゃないからやだったんかな?
145 ：大ボケ143 ：01/11/15 16:32: >>144
IPv6なんて先の話と思ってたから、知識のなさが丸見え。
しかも8進と見事にボケかましてるしな。(w

つーか、調べてみたらCIDRが必要となったIPv4を教訓に各組織の割り当ては
/48に固定されてるみたいだし。まぁアレだ、>>143はネタだし見逃してくれ。
146 ：128 ：01/11/16 20:53: 昔は逆引きもちゃんと書くのが当然、という雰囲気はあったね。
RFC1912 ( >>45 ) も
「PTRレコードとAレコードが一致しないと、
全く DNS に登録されていない場合と同様に、
受けられないサービスが出てくるかもしれません」と言ってるし。

>>137
>>128 の FTP サーバは大学(国)の物だし、
管理者はちゃんと給料もらっているので、
業務で運用しているということになるでしょう
147 ：名無しさん＠お腹いっぱい。 ：01/11/16 21:08: >>146
管理者の業務は教員、職員、学生への研究用、事務用、学習用等のネットワー
クインフラの提供だと思うぞ。FTPサービスは業務の合間に片手間にやってる
ことなんじゃないの?
148 ：128 ：01/11/16 21:32: あ、この FTP サーバはいわゆるフリーソフト集積場じゃなくて
教官が課題をアップロードしたり、学生にダウンロードさせたりする
サーバなんです。今時FTPで配るなんて珍しいでしょ。

で、たまに「つなげないんですけどー」って問い合わせが来るわけ。
そのたびに「逆引き書けヴォケ」って追い返しているらしい。
149 ：名無しさん＠お腹いっぱい。 ：01/11/16 21:45: >>148
なるほど、そうなのか。ISP使ってると「逆引き書けヴォケ」って言われても
どうしょうもないことが多いよねえ。
150 ：名無しさん＠Ｅｍａｃｓ ：01/11/17 15:09: >>149
話はそれるが、逆引きの設定してない ISP って多いのか?
ダイアルアップでも ppp-xxx.xxx.hoge.ne.jp みたいに何らかは設定してある
ところがほとんどだと思っていたんだが。
151 ：名無しさん＠お腹いっぱい。 ：01/11/17 15:19: nimbdaに感染してるホストからのapache access.logを見る限りは(w
日本のISPでダイアルアップやADSLに逆引きを設定してないとこはないみたい。
152 ：名無しさん＠お腹いっぱい。 ：01/11/19 23:13: SecureなBINDのススメ
http://www.cymru.com/~robt/Docs/Articles/secure-bind-template.html

CHAOSんとこにauthors.bindなんてのもあるのねん。
153 ：名無しさん＠お腹いっぱい。 ：01/11/30 16:21: 直接ISPのDNSにアクセスするのは、内部への問い合わせがISPに漏れてしまいそうで
ちょっと不安なので、IPマスカレードの中に、DNSサーバを設置したいのですが、
どういう設定が良いのでしょうか？
154 ：153 ：01/11/30 16:33: あと、ついでにDHCPもやっちゃいたいなと思います。
OSはFreeBSD4.xでお願いします。
155 ：名無しさん＠お腹いっぱい。 ：01/11/30 17:26: >>153
FreeBSD 4.x でDNSもDHCPも運用しているけど、
153 が何をしたいのかはサッパリわからんな。
「内部への問い合わせ」ってなんのことだ?
変に省略したりしないでちゃんと書いてくれ。
156 ：153 ：01/11/30 22:40: ダイアルアップルーターを購入して、家庭内LANを構築したのですが、
マシンが増えてきて、管理するのが大変になってきました。
そこで、ルーターのDHCP機能を利用して、DHCPで管理しようとしたのですが、
winipcfgでDNSサーバの設定を見ると、プロバイダのDNSサーバに問い合わせる
様に設定されていました。
もし、Aというマシン名を持つマシンのIPアドレスを問い合わせ場合に、もし、
電源を落としているなどでAが存在しなかった場合、ISPのDNSにアクセスしに
行ってAのマシン名が外に漏れてしまうのではないかと思っています。
大丈夫なのでしょうか？
また、家庭内でLANを運用する際に、クライアントごとのホスト名を付けて
管理しようと思うのですが、その際の設定のしかたがよく解りません。
各クライアントごとに設定したのですが、ホスト名のDNS検索では引けません。
どうやったらいいのでしょうか？
157 ：名無しさん＠お腹いっぱい。 ：01/12/01 00:41: >>156
その A っていう machine は DNS に登録されようがないと思うがどうよ。
158 ：名無しさん＠お腹いっぱい。 ：01/12/01 12:15: >>156
DHCPやめて、自前でLAN内にDNS鯖立てて、FOWERDERかませ。
159 ：155 ：01/12/01 13:11: 1. LAN の中で DNS サーバと DHCP サーバを立てて管理する。
2. ダイアルアップルータ(NAT箱か?)のアドレスを
デフォルトゲートウェイのアドレスとして 1 で立てたサーバから配る。

ということでどうよ? 1 の話は一般的な LAN 管理の話と同じだから、
その辺の本とか雑誌とか web に腐るほど情報がある。腐ってる情報もあるが(ﾜﾗ
160 ：155 ：01/12/01 13:19: >>156
> 行ってAのマシン名が外に漏れてしまうのではないかと思っています。
DNS サーバが問い合わせの記録をとってたりすると漏れる可能性はある。
でも普通いちいちログをとったりはしないし、仮にとっていたとして
漏れたからといって気にすることはない。ゴミ情報だから。

まあ 153 は O'Reilly でも読んで DNS の仕組みを勉強するこった。
161 ：名無しさん＠お腹いっぱい。 ：01/12/02 12:13: 逆引きできないと、IRCできないYO!
162 ：名無しさん＠お腹いっぱい。 ：01/12/03 13:30: viewは便利なんだけど、outer/inner両viewを持つサーバAに対して、そのouter/inner両方のviewのセカンダリになるサーバBって、設定できるの?
163 ：名無しさん＠お腹いっぱい。 ：01/12/05 15:26: forwardersの指定をするとき何か特別な指定って必要でしたっけ？
164 ：163 ：01/12/05 16:37: ;
slave
forwarders "ip-add"

で解決でした。
165 ：名無しさん＠お腹いっぱい。 ：01/12/11 13:54: DDNSでIPv6が使える（AAAA、A6レコードが使える）DNSサーバって
あります？bind-9.2.0使ってますが、v4と同じやり方ではできませんでした。
ていうかnsupdateにAAAAレコード、A6レコード指定すると、使えないよとエラー出ます。
まだ対応してないんですかね？
同じような研究してる方いらっしゃいます？
166 ：名無しさん＠お腹いっぱい。 ：01/12/11 19:43: foo.domain.com
で、fooの部分を何にしても一定のIPアドレスにつなげるようにするにはどうしたらいいのでしょうか？

環境：linux+BIND-8.2.1
167 ：名無しさん＠お腹いっぱい。 ：01/12/11 20:14: >>166
* を使えば近いことができるが、
独特の動きをするのでちゃんと理解して使わないと痛い目にあう。

つーか、お客さん来ちゃうよ。
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2001/01.html#20010130_bind
168 ：名無しさん＠お腹いっぱい。 ：01/12/11 21:58: >>167
ですな。8 系列ならまずは 8.2.5 に version を上げましょう。
169 ：名無しさん＠お腹いっぱい。 ：01/12/14 21:50: 8.2.3-RELなら安全ですか？
170 ：名無しさん＠お腹いっぱい。 ：01/12/14 22:29: >>169 なわけねーだろ！
171 ：名無しさん＠お腹いっぱい。 ：01/12/15 00:02: >>167
のとこにはダイジョブって書いてるけど、、
172 ：名無しさん＠お腹いっぱい。 ：01/12/15 00:07: >>171
そりは8.2.3が最新だった頃の情報でせう
173 ：名無しさん＠お腹いっぱい。 ：01/12/15 01:02: >>170
具体的にどんな穴があるの?
ISC のページだと 8.2.3 なら OK みたいだけど。
http://www.isc.org/products/BIND/bind-security.html
174 ：　：01/12/15 09:55: 常に、もう大丈夫と思わせておきながら、頻繁にアップデートパッチ
が必要なのの最右翼がSENDMAILとBINDだとおもう。
この二つを撲滅し、OSのSTRING関連の関数をBUFFER　OVERFLOW　FREE
にすれば、かなりの問題はつぶせることが何年もまえからわかって
いるのに。あるいはデータのセグメントとコードのセグメントを
OSで完全に分離してもかなりの問題が消えるのだが。
175 ：名無しさん＠お腹いっぱい。 ：01/12/15 10:23: ＞174
openbsd + djbdns + qmailってことかえ？
176 ：　>>１７４ ：01/12/21 10:37: OPEN　BSDだけではなくて、PC-UNIXあるいはUNIX全般においての
話のつもりなのだが。
すべてのOSのストリング関数をBUFFER　OVERFLOW　FREEとすべし。
検証プログラム（ベンチマーク？）を作って試験するとよい。
何かあった時のための、トロイの木馬を植え込むためにわざと
残してあるのではないかと思われたりもするよ。
＃
SENDMAILとBINDもそう。
＃
低位のポートはすべてNOBODY相当の所有物として、デーモンもNOBODY相当で
動作するようにもしたら、いまよりも、よくなりはしないか？
177 ：名無しさん＠お腹いっぱい。 ：01/12/21 10:52: > すべてのOSのストリング関数をBUFFER　OVERFLOW　FREEとすべし。
ANSI/ISO Cとの互換性を捨てないかぎり無理。

> 低位のポートはすべてNOBODY相当の所有物として、デーモンもNOBODY相当で
> 動作するようにもしたら、いまよりも、よくなりはしないか？
AデーモンがBデーモンの環境をいじれるってことになるよ。
デーモン(というかサービス)単位で専用アカウントを作って権限を分散化
させる方がいいのでは? (nobodyは本来NFS用のアカウント)
178 ：名無しさん＠お腹いっぱい。 ：01/12/21 16:26: これってどうなんでしょう?

http://www.trl.ibm.com/projects/security/ssp/
179 ：名無しさん＠お腹いっぱい。 ：01/12/21 17:19: 本家 gcc に取り込まれるのは難しいと聞いたような。
180 ：名無しさん＠お腹いっぱい。 ：02/01/07 14:45: 厨問ですが・・・
サーバ自体にはドメインを割り当てないで、全てヴァーチャルドメインとして運用する
ことは可能でしょうか？

質問がわかりにくいかもしれません。
質問自体がおかしい場合はご指摘ください。
181 ：名無しさん＠お腹いっぱい。 ：02/01/07 17:35: >>180
virtual domain とはどういうものだと考えているのでしょうか?
それを詳しくお聴かせ下さい。
182 ：181 ：02/01/07 20:14: >>181
1台のサーバ(もしくは1つのIPアドレス)に複数のドメインを割り当て、同時に
異なるサービスを提供すること。　by e-Words

私はまずサーバのIPアドレスへドメイン（基本？）を割り当て、その後複数の
ドメインをヴァーチャルドメインとして割り当てる。・・・と考えていました。
最初に割り当てるドメインと、その後に割り当てるドメイン（複数）に変わりは
無いということでしょうか？　＜なんか表現が変かな・・・

ってことは　named.conf　の設定なども区別して考える必要は無く、同じように
Zone定義をするだけでよろしいのでしょうか。　＜逆引きの設定は不必要？

まだ概念が良く解っていないので、変なカキコになっていると思いますが、ご教授
よろしくお願いいたします。
183 ：名無しさん＠お腹いっぱい。 ：02/01/07 21:32: 追記
ゾーン定義ファイルに記述するAレコードの各IPアドレス（gw,ns,ns2,domain,domain2）
は上位プロバから教えてもらって記述するのでしょうか？
184 ：名無しさん＠お腹いっぱい。 ：02/01/08 06:03: named age
185 ：名無しさん＠お腹いっぱい。 ：02/01/08 06:13: >>180
何も知らん奴が bind 使うのは危なすぎる
厨房だったら djbdns 使えや
あれは乳悶にもってこいだ
186 ：ZXR ：02/01/08 06:15: 乳揉?
187 ：名無しさん＠お腹いっぱい。 ：02/01/08 06:43: >>186
ﾆｭｰﾓﾝ
188 ：名無しさん＠お腹いっぱい。 ：02/01/08 17:42: DNSが管理しているゾーン名の情報を、外部のクライアントから確認する方法はありますでしょうか？
189 ：名無しさん＠お腹いっぱい。 ：02/01/09 13:12: nslookup

細かい使い方は本読むなりman見るなり。

もしかしてネタですか？
190 ：名無しさん＠お腹いっぱい。 ：02/01/09 22:30: named age
191 ：名無しさん＠お腹いっぱい。 ：02/01/09 23:23: >>189
きょうびnslookup薦めるのもどうかと思う。ISCも、「その
うち消すかも」と言うてるし。
192 ：名無しさん＠お腹いっぱい。 ：02/01/10 00:13: >>191
じゃなくて >189 もﾈﾀなんでしょ
193 ：名無しさん＠お腹いっぱい。 ：02/01/10 19:43: マラDNSってどうよ。
http://www.maradns.org/
194 ：名無しさん＠お腹いっぱい。 ：02/01/10 23:45: >>189
dig にしとけ。
195 ：名無しさん＠お腹いっぱい。 ：02/01/11 02:59: >>194
ほかにも host とか dnsquery とかあるけど、
dig を勧める理由は?
196 ：アホ189 ：02/01/13 19:54: すんません。189です。

digは「覚える必要ないだろう」と思って、全然使ったこと無かったです。
で、ここ読んでから覚えました。

とりあえず慣れました。意識してこいつを使っていこうと思います。

つーか、今まで、hostも使わずに全部nslookupだけで済ませてた
俺は何なんだろう……
197 ：名無しさん＠お腹いっぱい。 ：02/01/14 19:03: ゾーン定義ファイル内の空白はスペース？
それともTab？

逆引きファイルもゾーン定義ファイルと同じか？　＜スペースorTab
198 ：名無しさん＠お腹いっぱい。 ：02/01/14 19:53: >>197
tabがいいと思われ

digって逆引きが面倒なんだよなー、と思いつつman見たら
-x ってのがあったのか:-)
199 ：名無しさん＠お腹いっぱい。 ：02/01/14 21:27: >>198
らじゃ　サンクス！
200 ：名無しさん＠お腹いっぱい。 ：02/01/14 22:01: とりあえず 8.x を使っている人は，先週末に出た
8.3.0 に置き換えた方がいい．
http://www.isc.org/products/BIND/
201 ：名無しさん＠お腹いっぱい。 ：02/01/15 04:05: >>200
If you are running a version of BIND prior to version 8.2.5,
we recommend you upgrade for security reasons.
か…。いったい、いつになったら BIND の security hole は塞がって
いくんだろう…。
202 ：名無しさん＠お腹いっぱい。 ：02/01/15 04:32: 8.2.4とか8.2.5にどういうセキュリティホールあったの?
http://www.isc.org/products/BIND/bind-security.html にも書いてないし。
203 ：名無しさん＠お腹いっぱい。 ：02/01/15 08:59: 8.3.0 の src の CHANGES によると

--- 8.3.0-REL released --- (Fri Jan 11 04:00:00 PST 2002)

1323. [bug] don't assume statp->_u._ext.ext is valid unless
RES_INIT is set when calling res_*init().

1322. [bug] call res_ndestroy() if RES_INIT is set when
res_*init() is called.

1321. [cleanup] YPKLUDGE in no longer default.

1320. [port] winnt: namespace collision #undef the system's EV_ERR.

1319. [port] winnt: make __res_nopt() visible externally.

1318. [port] Tru64 UNIX V5.1 can return spurious EINVAL on
close() after connect() failure.

1317. [bug] NULL used where zero was required.

らしい．
しかしむしろ README の
Note that BIND 8 is in "end-of-life", having been replaced by BIND 9.
の方が気になる．
204 ：名無しさん＠お腹いっぱい。 ：02/01/18 08:22: BIND 8 から BIND 9 への移行についてのノート
http://www.aso.ecei.tohoku.ac.jp/~dais/misc/migration.html
205 ：名無しさん＠お腹いっぱい。 ：02/01/18 16:01: bind 9.xって、リゾルバが作成できないんでしょ。
じゃぁ、sendmail 12.2.X系でリンクしてインストールできないの？
206 ：名無しさん＠お腹いっぱい。 ：02/01/19 01:29: 最新版入れてみたんだけど、FreeBSDで薦められてるように-uオプションでサンドボックスの中で動かそうとしたら、
pidファイルが書けないってエラー出ちゃいました。

どうしたらよいでしょう？
207 ：名無しさん＠お腹いっぱい。 ：02/01/19 02:54: >>206
サンドボックスの中に/var/runを掘ってchownしても駄目？
208 ：206 ：02/01/19 13:11: サンドボックスは/etc/namedb/s/というディレクトリにしているんですが、pidファイルは普通の/var/run以下にできるみたいです。
なので、/var/runはroot：wheelさんの持ち物なので、bind：bindさんでは書けないみたい。

chrootしているわけではないようです。（ソース読んだわけではないですけど…）
FreeBSD付属のBINDは、rootでpid作ってからsetuid(2)を発行してるんじゃないかと思うんですが、最新のBINDはsetuidしてからpid書いてるような気がします。

というか、みなさんサンドボックス使ってない？？？
かくゆうぼくも今のところrootで動かしてますが。（ｗ

でも、ダイナミックアップデートが心配だなー。
209 ：名無しさん＠Ｅｍａｃｓ ：02/01/19 13:25: >>206
named.confのoptionsセクションに
pid-files "/etc/namedb/s/named.pid"
を書いたら？
210 ：名無しさん＠お腹いっぱい。 ：02/01/20 13:50: 厨房質問で申し訳ありません。

FreeBSD4.4-RにBIND9.2.0をmaik install しました。
その後、set named=/usr/local/sbin/named として #named restart としたのですが
can't open named となってしまいます。

これはなぜなのでしょうか？
対処方法などご教授していただけるとありがたいです。
211 ：名無しさん＠お腹いっぱい。 ：02/01/22 00:28: Windows 2000 で動く BIND ってありますか？
セキュリティホールとかはどうですか？
212 ：211 ：02/01/22 00:31: 待て、何も言うな。俺が悪かった。まさか ISC でバイナリ配布してるとは。。。
灯台下暗しとはこのことさね。。。

掲示板に戻る全部前100 次100 最新50

read.cgi ver5.26+ (01/10/21-)