Unbound を 1.5.1 に更新した

複数の DNS ソフトウェアで脆弱性が発覚したとのニュースを見た。 Unbound もそこに含まれているとのこと。

自分が設定している Unbound はごくプライベートな環境にしか開かれていないため影響の範囲外かと思われるが、緊急の脆弱性を知りながら放置するのものなんだか気持ち悪いので更新してみた。

今回はそのレポートというか、メモ書き。

環境

  • Ubuntu 14.04
  • Unbound 1.4.22 (旧)
  • Unbound 1.5.1 (新)

上記の旧マークがついた Unbound は、標準のパッケージリポジトリからインストールしたもの。

今回、面倒な service 等の設定を流用するため、旧バージョンはインストールした状態で作業をおこなう。

準備

設定のバックアップ

ライブラリやツールのインストール

コンパイルやインストールにコケたら、その都度エラーを見て追加でインストールをおこなう。

configue オプションの確認

unbound -h で出てくる。

参考として、標準のリポジトリからインストールしたものでは以下のようになっていた。

インストール

  • 前半は最新版 Unbound のダウンロードと解凍。
  • ./configure {Options} の Options 部分は事前に確認した Configure のオプション。

動作確認

  • unbound -h でバージョンを見る。バージョンの値が最新になっていればファイルの更新自体は成功。
  • service unbound restart 可能か確認。
  • うまくいかない場合は unbound-checkconfig や直接 unbound を実行してエラーを見る。

インストール中に起きたトラブル

*/unbound.conf

service を起動できず、直接 unbound を実行したときに確認できたエラー。

設定では切っているはずなのに、 IPv6 での紐付けができないというエラーが発生した。奇妙に思いながら設定ファイルを弄るも変化なし。

原因はコンパイル時のオプションを忘れていたことだった。 unbound-checkconfig を実行すると以下のように表示される。

/usr/local/etc/unbound は Unbound 標準の設定ファイル位置。一方 Ubuntu の標準は /etc/unbound 。

自分が見ていたのは後者の位置にある unbound.conf だった。そっちを書き換えたところで影響あるわけがない。

make clean して ./configure のくだりからやり直した。

root.key

以前の root.key がなぜか使えなくなっていたため、作り直した。環境によってはこの作業は不要だったので、必要があれば、という感じ。

unbound.conf.d/root-auto-trust-anchor-file.conf の auto-trust-anchor-file のパスを確認し、以下のように実行する。

参考サイト

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です