cron(8)でZSKを作る件
引用:auto-dnssec maintain; を試してみる
ま、取り敢えず、これで上位へのDSやDLVの登録なんかを除けば、鍵を作り足し忘れない限り、大丈夫そうな状態が作れる感じ。適切なoffset値でdnssec-keygen(8)にtiming optionを指定してcron(8)あたりで呼べば、作成もなんとかなるのかも。
取り敢えず、こんな感じの
crontab(5)
をnamed(8)
の実行ユーザーで作って試してみる。GNU dateが使える環境前提ですけど。SHELL=/bin/sh
MAILTO=""
#
13 * * * * /usr/sbin/dnssec-keygen -r /dev/urandom -3 -a RSASHA256 \
-b 1024 -i 1h \
-A `/bin/date -u -d "1 hour" "+\%Y\%m\%d\%H\%M\%S"` \
-I `/bin/date -u -d "2 hours 10 minutes" "+\%Y\%m\%d\%H\%M\%S"` \
-D `/bin/date -u -d "2 hours 20 minutes" "+\%Y\%m\%d\%H\%M\%S"` \
-K /var/named/chroot/var/named/keys/example.jp \
-n ZONE example.jp > /dev/null 2>&1 \
&& /usr/sbin/rndc loadkeys example.jp. > /dev/null 2>&1
問題なさそうなら、
-i
の値を1mo
ぐらいにして、hour
をmonth
にして、10 mintutes
を3 days
ぐらいにして実機でやってみようかな。dnssec-keygen(8)
ってman
読むと、-P
も-A
もdefault is "now"
って書いてますけど、-A
だけ書いて-P
付けなかったら-P
には-A
の値が採用されるんですね。おもいっきり-i
の説明に書いてますけど見落としてた。
コメント 0