FreeBSD 12.2 RELEASE - DNS サーバ - unbound

 クラウディア
1. 概要
2. インストール
3. unbound.conf 設定
4. owner 設定
5. /etc/rc.conf 設定

1. 概要

 独自ドメインを使用して、サーバを構築する場合でも、「DNS」キャッシュサーバの役割はさほど高くないと思っています。  自分がプロバイダでもない限りは、プロバイダから「DNS」キャッシュサーバは公開されますし、「DNS」キャッシュサーバを立てなくても「FreeBSD」自身の「resolv.conf」に、外部の「DNS」キャッシュサーバのアドレスを記述しておけば、外部の「DNS」を探しに行くことは可能であるからです。

2. インストール

 「FreeBSD 10.3 RELEASE」以降、「unbound」は、デフォルトでインストールされており、起動スクリプトも

/etc/rc.d/local_unbound
 というものが用意されています。  しかし、将来のバージョンアップ・リビジョンアップを考慮して、「ports」からインストールして使用すべきだと思っています。

cd /usr/ports/dns/unbound
make config
 オプションはデフォルトのままにしています。
「FreeBSD 12.2 RELEASE」-「/usr/ports/dns/unbound」「make config」


cd /usr/ports/dns/unbound
make
make install
 インストール時のメッセージを残しておきます。

===>  Installing for unbound-1.12.0
===>  Checking if unbound is already installed
===>   Registering installation for unbound-1.12.0
Installing unbound-1.12.0...
===> Creating groups.
Using existing group 'unbound'.
===> Creating users
Using existing user 'unbound'.
===> SECURITY REPORT:
      This port has installed the following files which may act as network
      servers and may therefore pose a remote security risk to the system.
/usr/local/sbin/unbound
/usr/local/lib/libunbound.so.8.1.10
/usr/local/sbin/unbound-checkconf
/usr/local/sbin/unbound-control
/usr/local/lib/libunbound.a(netevent.o)

      If there are vulnerabilities in these programs there may be a security
      risk to the system. FreeBSD makes no guarantee about the security of
      ports included in the Ports Collection. Please type 'make deinstall'
      to deinstall the port if this is a concern.

      For more information, and contact details about the security
      status of this software, see the following webpage:
https://www.nlnetlabs.nl/projects/unbound

3. unbound.conf 設定

 コンフィグレーションファイルを編集します。

vi /usr/local/etc/unbound/unbound.conf

server:
    # whitespace is not necessary, but looks cleaner.

    # verbosity number, 0 is least verbose. 1 is default.
	verbosity: 1

    interface: 127.0.0.1                  ← クライアントに提供するインターフェースのIPアドレス
                                             ここでは nsd との共存のための設定に沿っていますが
                                             単独で起動する場合は 0.0.0.0 を記述
    access-control: 192.168.0.0/24 allow  ← サーバ機能を提供することを許可する IPアドレス
 ☆☆☆重要☆☆☆  ルートゾーン「KSK」ロールオーバーに対応するためには下記の設定は必要です  「DNSSEC」を有効にしてルートゾーンのトラストアンカーを自動更新するために

        # auto-trust-anchor-file: "/usr/local/etc/unbound/root.key"
 の先頭の「#」を削除して定義を有効にします。  (以前と行番号がずいぶん異なります)

        auto-trust-anchor-file: "/usr/local/etc/unbound/root.key"
 初回は、「/usr/local/etc/unbound/root.key」が存在しないので作成します。

touch /usr/local/etc/unbound/root.key
chown unbound:unbound /usr/local/etc/unbound/root.key

cat << EOF >> /usr/local/etc/unbound/root.key
. IN DS 19036 8 2 49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5
EOF
 設定した内容は以下のコマンドでチェックします。

/usr/local/sbin/unbound-checkconf
 以下のように誤りがないことが表示されれば問題がありません。

unbound-checkconf: no errors in /usr/・・・ ← 右端にはチェックした設定ファイル名がフルパスで表示されます

4. owner 設定


/usr/local/etc/unbound/
 配下のファイルの所有者を「unbound」にします。

chown unbound:unbound /usr/local/etc/unbound/*

5. /etc/rc.conf 設定


vi /etc/rc.conf
 を編集して、「unbound」を有効にします。

service unbound enable
 「unbound」を起動します。

service unbound start
 以前は、初回、問い合わせがあるように記憶していましたが、今はそのまま動作するようです。

Obtaining a trust anchor...
Starting unbound.
 直後に

/usr/local/etc/unbound/root.key
 は更新されるようです。
ハイスピードプラン弁当U-NEXT
 
 
カウンタバックグラウンド