Phreebird Suite 1.02お試し
まだまだデモレベルな感じですが、Dan Kaminsky氏ご提供の
モノは、
http://s3.amazonaws.com/dmk/phreebird_suite_1.02.tar.gz
あたりにあるようです。後、プレゼンらしきものが、
http://www.slideshare.net/dakami/phreebird-suite-10-introducing-the-domain-key-infrastructure
なんかにあります。
テスト環境は、某βテスト中のクラウド/VPSのCentOS5.5。まずは、インストール。取り敢えず、取得と展開
まずは、依存するライブラリとかのインストール
うまくいかなければ、
そして本体のインストール。
後は、
で、使い方。
とすると簡単なヘルプが出ます。ZSKを作成します。
とするとカレントディレクトリに
後は、適当なコンテンツDNSサーバ(Authoritative Server)を指定して起動します。以下は、適当なコンテンツDNSサーバのIPアドレスが192.0.2.2だった場合。
後は、
キャッシュDNSサーバ(Recursive Server)といいますかフルリゾルバに向けてやると漏れなく署名付けてくれたりします。すでに付いているものは署名し直されることになります。
ちなみに、rootのhint fileが設定されていないコンテンツDNSサーバー、たとえば、
になっているものや、
とかすると、Segmentation faultで落ちます。
*1: コンテンツDNSサーバーって普通そうだとは思いますけど。
Phreebird Suite 1.02
のphreebird
をお試し程度に使ってみる。大雑把にいえば、DNSSEC未対応のDNSサーバーのレコードに署名を付けてくれるプロキシーのようです。モノは、
http://s3.amazonaws.com/dmk/phreebird_suite_1.02.tar.gz
あたりにあるようです。後、プレゼンらしきものが、
http://www.slideshare.net/dakami/phreebird-suite-10-introducing-the-domain-key-infrastructure
なんかにあります。
テスト環境は、某βテスト中のクラウド/VPSのCentOS5.5。まずは、インストール。取り敢えず、取得と展開
$ wget \
http://s3.amazonaws.com/dmk/phreebird_suite_1.02.tar.gz
$ tar xpvzf phreebird_suite_1.02.tar.gz
$ cd phreebird_suite_1.02
まずは、依存するライブラリとかのインストール
$ su
# sh depbuild.sh
# exit
$
うまくいかなければ、
deps
ディレクトリにcd
してアーカイブ展開して./configure && make && make install
とか各々のドキュメントの指示に従う等してインストールします。そして本体のインストール。
$ su
# make && make install
後は、
ldconfig(8)
を実行しておきます。# cat > /etc/ld.so.conf.d/phreebird.conf
/usr/local/lib
# ldconfig
で、使い方。
# phreebird -?
とすると簡単なヘルプが出ます。ZSKを作成します。
# phreebird -g
とするとカレントディレクトリに
dns.key
という名前で秘密鍵が出来ます。アルゴリズムはRSASHA1_NSEC3。できるモノはldns-keygen(8)
やdnssec-keygen(8)
で作られるモノと同じなので、他のアルゴリズムを使いたい場合、そっちで作っても構わないのですが、Private-key-format
がv1.3
なモノは使えないようなので、イマドキのdnssec-keygen(8)
なんぞで作る場合は-C
オプションを付ける必要があるようです。後は、適当なコンテンツDNSサーバ(Authoritative Server)を指定して起動します。以下は、適当なコンテンツDNSサーバのIPアドレスが192.0.2.2だった場合。
# phreebird -b 192.0.2.2:53
-b
を指定しなければ、ローカルの50053に向くようです。後は、
dig(1)
とかで、動作確認。$ dig +dnssec +multiline @127.0.0.1 example.jp. soa
キャッシュDNSサーバ(Recursive Server)といいますかフルリゾルバに向けてやると漏れなく署名付けてくれたりします。すでに付いているものは署名し直されることになります。
ちなみに、rootのhint fileが設定されていないコンテンツDNSサーバー、たとえば、
zone "." {
type hint;
file "/dev/null";
};
になっているものや、
zone "."
がないコンテンツDNSサーバー(*1)に向けてやって、$ dig +dnssec @127.0.0.1 . ns
とかすると、Segmentation faultで落ちます。
*1: コンテンツDNSサーバーって普通そうだとは思いますけど。
コメント 0