BINDアップデートで見つけた3つの地雷
DNSシステムの脆弱性対応で緊急のセキュリティアップデートをする必要に迫られたのですが、CentOS, Redhat共にパッケージ管理コマンド(up2date, yum)でのアップデートは地雷でした。
1.勝手にnamed.confを書き換えられるの注意
画面にアラートは出ますがnamed.confは勝手に書き換えられます。
差し替えてから再起動しないと管理しているドメインが引けなくなります。
2.PHPをApacheモジュールでインストールしている場合はcaching-nameserverに注意
Apacheのlogrotateでログが切り替わったとたんにPHPからDNS解決出来なくなります。
caching-nameserverをPHPのソースが読み込んでいる関係らしいのですが翌朝9時に起動する地雷です。
PHPをApacheモジュールでインストールしている場合はDNSアップデート後にApache+PHPの再起動実施をお勧めします。
(念の為にApacheを再起動してしまったので、CGIとして組み込んでいる場合の挙動は未確認です。)
3.Redhatの場合は・・・
up2dateでのBINDアップデートの順番がおかしいらしく
bind-chroot -> bind -> caching-nameserver
の順にアップデートして、bind-chrootアップデート後にnamedを自動再起動して起動に失敗してくれます。
エラーログは下記の通り。
/usr/sbin/named: symbol lookup error: /usr/sbin/named: undefined symbol: dns_dispatch_hash
この不具合は詳しく調べてないのですがbindのアップデートにbind-chrootが必要とするファイルが含まれている様です。上記、up2dateのBINDアップデート後にnamedを再起動すれば直るのですが事前に知らないと青ざめます。
今回のアップデートは、パッケージの悪さがひどかったので開発環境有無と事前検証で成否が左右されるアップデートだったと実感しております。
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- -
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
[ちょっと広告] DNSが止まってしまって動かない!という方は是非ご相談を!