Phreebird Suite 1.02お試し

まだまだデモレベルな感じですが、Dan Kaminsky氏ご提供のPhreebird Suite 1.02のphreebirdをお試し程度に使ってみる。大雑把にいえば、DNSSEC未対応のDNSサーバーのレコードに署名を付けてくれるプロキシーのようです。

モノは、

http://s3.amazonaws.com/dmk/phreebird_suite_1.02.tar.gz

あたりにあるようです。後、プレゼンらしきものが、

http://www.slideshare.net/dakami/phreebird-suite-10-introducing-the-domain-key-infrastructure

なんかにあります。

テスト環境は、某βテスト中のクラウド/VPSのCentOS5.5。まずは、インストール。取り敢えず、取得と展開

$ wget \
    http://s3.amazonaws.com/dmk/phreebird_suite_1.02.tar.gz
$ tar xpvzf  phreebird_suite_1.02.tar.gz
$ cd phreebird_suite_1.02

まずは、依存するライブラリとかのインストール

$ su
# sh depbuild.sh
# exit
$

うまくいかなければ、depsディレクトリにcdしてアーカイブ展開して./configure && make && make installとか各々のドキュメントの指示に従う等してインストールします。

そして本体のインストール。

$ su
# make && make install

後は、ldconfig(8)を実行しておきます。

# cat > /etc/ld.so.conf.d/phreebird.conf
/usr/local/lib
# ldconfig

で、使い方。

# phreebird -?

とすると簡単なヘルプが出ます。ZSKを作成します。

# phreebird -g

とするとカレントディレクトリにdns.keyという名前で秘密鍵が出来ます。アルゴリズムはRSASHA1_NSEC3。できるモノはldns-keygen(8)やdnssec-keygen(8)で作られるモノと同じなので、他のアルゴリズムを使いたい場合、そっちで作っても構わないのですが、Private-key-formatがv1.3なモノは使えないようなので、イマドキのdnssec-keygen(8)なんぞで作る場合は-Cオプションを付ける必要があるようです。

後は、適当なコンテンツDNSサーバ(Authoritative Server)を指定して起動します。以下は、適当なコンテンツDNSサーバのIPアドレスが192.0.2.2だった場合。

# phreebird -b 192.0.2.2:53

-bを指定しなければ、ローカルの50053に向くようです。

後は、dig(1)とかで、動作確認。

$ dig +dnssec +multiline @127.0.0.1 example.jp. soa

キャッシュDNSサーバ(Recursive Server)といいますかフルリゾルバに向けてやると漏れなく署名付けてくれたりします。すでに付いているものは署名し直されることになります。
ちなみに、rootのhint fileが設定されていないコンテンツDNSサーバー、たとえば、

zone "." {
    type hint;
    file "/dev/null";
};

になっているものや、zone "."がないコンテンツDNSサーバー^(*1)に向けてやって、

$ dig +dnssec @127.0.0.1 . ns

とかすると、Segmentation faultで落ちます。

---

*1: コンテンツDNSサーバーって普通そうだとは思いますけど。

タグ：DNSSEC phreebird