2012年6月26日 星期二

Yum error: No module named sqlite



從我的 iPhone 傳送

開始轉寄郵件:

寄件人: <min.zhang@hk.panasonic.com>
日期: 2012年6月27日 8:07:43 [GMT+08:00]
收件人: <tigerzhk@gmail.com>
標題: Yum error: No module named sqlite

Yum error: No module named sqlite

Posted on January 8th, 2010 Admin No comments

Today we upgraded one of our centos 4.8 server to centos 5.4 via yum. But after upgrade yum seems to be showing sqlite error.

[root@server1]# yum clean all
There was a problem importing one of the Python modules
required to run yum. The error leading to this problem was:

No module named sqlite

Please install a package which provides this module, or
verify that the module is installed correctly.

It's possible that the above module doesn't match the
current version of Python, which is:
2.4.3 (#1, Sep  3 2009, 15:37:12)
[GCC 4.1.2 20080704 (Red Hat 4.1.2-46)]

If you cannot solve this problem yourself, please go to
the yum faq at:

http://wiki.linux.duke.edu/YumFaq

To fix this download the latest python-sqlite rpm from CentOS 5.4 mirror and peform a forceful upgrade.

[root@server1]# rpm -Uvh python-sqlite-1.1.7-1.2.1.i386.rpm –force
Preparing…                ########################################### [100%]
1:python-sqlite          ########################################### [100%]
[root@server1]# yum clean all
Repository base is listed more than once in the configuration
Repository updates is listed more than once in the configuration
Cleaning up Everything

[root@server1]# yum update



 

2012年6月25日 星期一

CentOS 4 upgrade CentOS 5


日期: 2012年6月26日 9:34:04 [GMT+08:00]
收件人: <tigerzhk@gmail.com>, <tigerzhk.note2012@blogger.com>
標題: CentOS 4 upgrade CentOS 5

Monday, February 04, 2008

CentOS 4 upgrade CentOS 5

CentOS4 升級到 CentOS5 有點麻煩
試了好幾次 總算整理出一個比較順利的

以下是 CentOS4.6 升級到 CentOS5.1 過程
安裝之前請開兩個以上 telnet session, 因為升級過程中(Step2) 就無法再開新的連線
另外該停服務先停 以免發生一些慘事 尤其是資料庫如 mysql

1.
首先先安裝 centos-release 套件
centos-release-5-1.0.el5.centos.1.i386.rpm
centos-release-notes-5.1.0-2.i386.rpm

rpm -Uvh centos-release-5-1.0.el5.centos.1.i386.rpm centos-release-notes-5.1.0-2.i386.rpm

2.
安裝升級前套件
下載以下 rpm 放在 /tmp/Upgrades, 以下為 5.1
beecrypt-4.1.2-10.1.1.i386.rpm
beecrypt-python-4.1.2-10.1.1.i386.rpm
binutils-2.17.50.0.6-5.el5.i386.rpm
db4-4.3.29-9.fc6.i386.rpm
elfutils-0.125-3.el5.i386.rpm
elfutils-libelf-0.125-3.el5.i386.rpm
elfutils-libs-0.125-3.el5.i386.rpm
glibc-2.5-18.i686.rpm
glibc-common-2.5-18.i386.rpm
glibc-devel-2.5-18.i386.rpm
glibc-headers-2.5-18.i386.rpm
krb5-libs-1.6.1-17.el5.i386.rpm
libselinux-1.33.4-4.el5.i386.rpm
libsepol-1.15.2-1.el5.i386.rpm
libxml2-2.6.26-2.1.2.i386.rpm
libxml2-python-2.6.26-2.1.2.i386.rpm
m2crypto-0.16-6.el5.1.i386.rpm
mcstrans-0.2.6-1.el5.i386.rpm
neon-0.25.5-5.1.i386.rpm
openssl-0.9.8b-8.3.el5_0.2.i686.rpm
popt-1.10.2-47.el5.i386.rpm
python-2.4.3-19.el5.i386.rpm
python-devel-2.4.3-19.el5.i386.rpm
python-elementtree-1.2.6-5.i386.rpm
python-sqlite-1.1.7-1.2.1.i386.rpm
python-urlgrabber-3.1.0-2.noarch.rpm
readline-5.1-1.1.i386.rpm
rpm-4.4.2-47.el5.i386.rpm
rpm-libs-4.4.2-47.el5.i386.rpm
rpm-python-4.4.2-47.el5.i386.rpm
yum-3.0.5-1.el5.centos.5.noarch.rpm

執行安裝
cd /tmp/Upgrades
rpm -Uvh *.rpm --nodeps --force

3.
測試一下 yum upgrade 發生的問題
[root@test Upgrades]# yum -c /etc/yum-upgrade.conf upgrade
Traceback (most recent call last):
File "/usr/bin/yum", line 4, in ?
import yum
File "/usr/lib/python2.4/site-packages/yum/__init__.py", line 36, in ?
import config
File "/usr/lib/python2.4/site-packages/yum/config.py", line 23, in ?
from parser import ConfigPreProcessor
File "/usr/lib/python2.4/site-packages/yum/parser.py", line 3, in ?
import urlgrabber
File "/usr/lib/python2.4/site-packages/urlgrabber/__init__.py", line 53, in ?
from grabber import urlgrab, urlopen, urlread
File "/usr/lib/python2.4/site-packages/urlgrabber/grabber.py", line 406, in ?
import keepalive
File "/usr/lib/python2.4/site-packages/urlgrabber/keepalive.py", line 339, in ?
class HTTPSHandler(KeepAliveHandler, urllib2.HTTPSHandler):
AttributeError: 'module' object has no attribute 'HTTPSHandler'

出現上面的錯誤 其實是缺少新版的 wget keyutils-libs python 一點都無關
這個錯誤實在很難解 還曾試著把別台正確的 /usr/lib/python2.4 拷貝一份也沒用
想了很久 後來忽然想到 CentOS Wiki 提到升級 CentOS 4.4ServerCD to 5
有提到 wget 於是把把 CentOS5 wget 及相依 keyutils-libs 套件裝上去
yum
又活過來了

安裝之前也是要重建 rpmdb 否則是無法安裝的
rm -f /var/lib/rpm/__*
rpm --rebuilddb
rpm -Uvh wget-1.10.2-7.el5.i386.rpm keyutils-libs-1.2-1.el5.i386.rpm --nodeps --force

4.
安裝新版 kernel 以及移除舊版 kernel
a.
安裝新版 kernel
rpm -ivh kernel-2.6.18-53.el5.i686.rpm --nodeps

b.
移除舊版 kernel
--justdb 選項移除 rpmdb 刪除舊版的 kernel 資訊, 不做真正移除
等下 yum upgrade 才不會出現舊版的 kernel 與新的 rpm 生相依性或衝突的問題
rpm -e --nodeps --justdb kernel-2.6.9-67.EL kernel-2.6.9-67.0.1.EL

5.
升級整個系統
正是要做 整個 upgrade 之前, 要先做 rpm db 的重整 rebuild
rm -f /var/lib/rpm/__*
rpm --rebuilddb
好了 可以開始 upgrade
yum -c /etc/yum-upgrade.conf upgrade

做完後還是得重建 rpm db 一次
rm -f /var/lib/rpm/__*
rpm --rebuilddb

然後請檢察 /etc/grub.conf /boot 是否正確再開機

6.
清理垃圾
由於升級過程中 有些軟體可以接受比較舊的版本
導致還是會有些軟體停留在 el4 而不是 el5
我們可以檢還有哪些是 el4
rpm -qa | grep el4, rpm -qa | grep EL4

建議先用 yum list xxx 看有哪幾個版本
然後用 rpm -e xxx -nodeps 移除
再用 yum install xxx 裝上新版

參考文章
CentOS Wiki - Upgrade Server 4.4 to 5
http://wiki.centos.org/HowTos/MigrationGuide/ServerCD_4.4_to_5
在線centos4.4升級到centos5.0
http://www.haw-haw.org/node/242

 

 

 

CentOS 4 upgrade CentOS 5

Monday, February 04, 2008

CentOS 4 upgrade CentOS 5

CentOS4 升�到 CentOS5 有�麻�
�了好�次 �算整理出一�比��利的

以下是 CentOS4.6 升�到 CentOS5.1 �程
安�之前����以上 telnet session, 因�升��程中(Step2) 就�法再�新的��
另外�停服�先停 以免�生一些�事 尤其是�料�如 mysql

1.
首先先安� centos-release 套件
centos-release-5-1.0.el5.centos.1.i386.rpm
centos-release-notes-5.1.0-2.i386.rpm

rpm -Uvh centos-release-5-1.0.el5.centos.1.i386.rpm centos-release-notes-5.1.0-2.i386.rpm

2.
安�升�前套件
下�以下 rpm 放在 /tmp/Upgrades, 以下� 5.1
beecrypt-4.1.2-10.1.1.i386.rpm
beecrypt-python-4.1.2-10.1.1.i386.rpm
binutils-2.17.50.0.6-5.el5.i386.rpm
db4-4.3.29-9.fc6.i386.rpm
elfutils-0.125-3.el5.i386.rpm
elfutils-libelf-0.125-3.el5.i386.rpm
elfutils-libs-0.125-3.el5.i386.rpm
glibc-2.5-18.i686.rpm
glibc-common-2.5-18.i386.rpm
glibc-devel-2.5-18.i386.rpm
glibc-headers-2.5-18.i386.rpm
krb5-libs-1.6.1-17.el5.i386.rpm
libselinux-1.33.4-4.el5.i386.rpm
libsepol-1.15.2-1.el5.i386.rpm
libxml2-2.6.26-2.1.2.i386.rpm
libxml2-python-2.6.26-2.1.2.i386.rpm
m2crypto-0.16-6.el5.1.i386.rpm
mcstrans-0.2.6-1.el5.i386.rpm
neon-0.25.5-5.1.i386.rpm
openssl-0.9.8b-8.3.el5_0.2.i686.rpm
popt-1.10.2-47.el5.i386.rpm
python-2.4.3-19.el5.i386.rpm
python-devel-2.4.3-19.el5.i386.rpm
python-elementtree-1.2.6-5.i386.rpm
python-sqlite-1.1.7-1.2.1.i386.rpm
python-urlgrabber-3.1.0-2.noarch.rpm
readline-5.1-1.1.i386.rpm
rpm-4.4.2-47.el5.i386.rpm
rpm-libs-4.4.2-47.el5.i386.rpm
rpm-python-4.4.2-47.el5.i386.rpm
yum-3.0.5-1.el5.centos.5.noarch.rpm

�行安�
cd /tmp/Upgrades
rpm -Uvh *.rpm --nodeps --force

3.
��一下 yum upgrade �生的��
[root@test Upgrades]# yum -c /etc/yum-upgrade.conf upgrade
Traceback (most recent call last):
File "/usr/bin/yum", line 4, in ?
import yum
File "/usr/lib/python2.4/site-packages/yum/__init__.py", line 36, in ?
import config
File "/usr/lib/python2.4/site-packages/yum/config.py", line 23, in ?
from parser import ConfigPreProcessor
File "/usr/lib/python2.4/site-packages/yum/parser.py", line 3, in ?
import urlgrabber
File "/usr/lib/python2.4/site-packages/urlgrabber/__init__.py", line 53, in ?
from grabber import urlgrab, urlopen, urlread
File "/usr/lib/python2.4/site-packages/urlgrabber/grabber.py", line 406, in ?
import keepalive
File "/usr/lib/python2.4/site-packages/urlgrabber/keepalive.py", line 339, in ?
class HTTPSHandler(KeepAliveHandler, urllib2.HTTPSHandler):
AttributeError: 'module' object has no attribute 'HTTPSHandler'

出�上面的�� 其�是缺少新版的 wget keyutils-libs python 一�都��
�����在很�解 �曾�著把�台正�的 /usr/lib/python2.4 拷�一份也�用
想了很久 後�忽然想到 CentOS Wiki 提到升� CentOS 4.4ServerCD to 5
有提到 wget 於是把把 CentOS5 wget 及相依 keyutils-libs 套件�上去
yum
又活��了

安�之前也是要重建 rpmdb 否�是�法安�的
rm -f /var/lib/rpm/__*
rpm --rebuilddb
rpm -Uvh wget-1.10.2-7.el5.i386.rpm keyutils-libs-1.2-1.el5.i386.rpm --nodeps --force

4.
安�新版 kernel 以及移除�版 kernel
a.
安�新版 kernel
rpm -ivh kernel-2.6.18-53.el5.i686.rpm --nodeps

b.
移除�版 kernel
--justdb ��移除 rpmdb �除�版的 kernel ��, 不做真正移除
等下 yum upgrade 才不�出��版的 kernel �新的 rpm 生相依性或�突的��
rpm -e --nodeps --justdb kernel-2.6.9-67.EL kernel-2.6.9-67.0.1.EL

5.
升�整�系�
正是要做 整� upgrade 之前, 要先做 rpm db 的重整 rebuild
rm -f /var/lib/rpm/__*
rpm --rebuilddb
好了 可以�始 upgrade
yum -c /etc/yum-upgrade.conf upgrade

做完後�是得重建 rpm db 一次
rm -f /var/lib/rpm/__*
rpm --rebuilddb

然後��察 /etc/grub.conf /boot 是否正�再��

6.
清理垃圾
由於升��程中 有些��可以接受比��的版本
�致�是�有些��停留在 el4 而不是 el5
我�可以��有哪些是 el4
rpm -qa | grep el4, rpm -qa | grep EL4

建�先用 yum list xxx 看有哪��版本
然後用 rpm -e xxx -nodeps 移除
再用 yum install xxx �上新版

�考文章
CentOS Wiki - Upgrade Server 4.4 to 5
http://wiki.centos.org/HowTos/MigrationGuide/ServerCD_4.4_to_5
在�centos4.4升�到centos5.0
http://www.haw-haw.org/node/242

 

 

 

免費備份和還原軟體EaseUS Todo Backup Free 4.0



日期: 2012年6月26日 8:42:30 [GMT+08:00]
收件人: <tigerzhk@gmail.com>
標題: 免費備份和還原軟體EaseUS Todo Backup Free 4.0

狼生不如小新 - 高慧然

蘋果日報 副刊

狼生不如小新 - 高慧然

http://s.nextmedia.com/apple_sub/a.php?i=20120626&sec_id=12187389&s=38173&a=16458830


Sent from my iPhone

2012年6月21日 星期四

DNS の再帰的な問合せを使った DDoS 攻撃の対策について

---------------------------------------------------------------------
 DNS の再帰的な問合せを使った DDoS 攻撃の対策について
                                                     2006/03/29 (Wed)
---------------------------------------------------------------------<   o:p>
 
▼概要
 
DNS の再帰的な問合せ (recursive queries) を使った DDoS 攻撃が数多く発
生しています。適切なアクセス制限を行っていない DNS サーバは、DDoS 攻撃
の踏み台として使用される可能性があります。
 
DNS サーバはその機能から、キャ�ッシュサーバ (Recursive Server) とコンテ
ンツサーバ (Authoritative Server)  2 つに分類することができます。ま
た、両機能を兼ね備えたキャッシュ・コンテンツ兼用サーバもあります。
 
このうち、再帰的な問合せを処理するのがキャッシュサーバであり、本ドキュ
メントは、キャッシュサーバ (兼用サーバを含む) の運用管理者を対象として
います。
 
コンテンツサーバの設定についても、本ドキュメントを参考に設定を見直して
いただければ幸いです。
 
  * キャッシュサーバ 
 
    クライアントからの問い合わせ要求を受けると、コンテンツサーバに対し
    て再帰的に問い合わせを行い、結果をクライアントに��す DNS サーバで
    す。PC などがインターネットに接続する際に設定する DNS サーバであり、
    DHCP  PPP などで自動的に設定される場合もあります。
 
  * コンテンツサーバ 
 
    管理するドメインの情報 (ゾーン情報) を持ち、キャッシュサーバからの
    問合せに回答する DNS サーバです。
 
  * キャッシュ・コンテンツ兼用サーバ 
 
    名前の通り、1 台の DNS サーバでキャッシュサーバとコンテンツサーバ
    の両方を兼用するものです。インターネットで利用されている DNS サー
    バの多くが、この兼用型であるという統計があります。
 
 
▼攻撃の踏み台とならないために BIND 
 
DNS サーバの実装として最も多く利用されている BIND は、設定ファイルに指
定しない限り、アクセス制限は行われません。アクセス制限を明示的に指定し
ていない BIND のキャッシュサーバは、DDoS 攻撃の踏み台となる可能性があ
ります。
 
以下に、アクセス制限を行ったキャッシュ・コンテンツ兼用型の BIND の設定
ファイルの例を示します。これは次のような機能を持つ DNS サーバでの設定
例です����首鞜�赱鈑重劉孑昭鏈霈鹿鏈霈鹿齔瘤昭�鞜郛鹿頏緇腫鱚昭齔瘤�瘤臀�杜��齡�綵с闌闥今崖崖崖Ь種咋商鈞齔纂�咋昭�鞜郛鹿頏緇腫鱚昭齔瘤�瘤臀杜��齡�綵с闌闥今崖崖崖Ь�碵雹���鞜郛首鞜�齡�綵с闌闥今崖崖崖Ь自組織向けにキャッシュサーバの機能を提供している。
    - 自組織のネットワークで利用している IP アドレスは、202.11.16.0/23
      192.168.100.0/24172.20.0.0/16 である。
 
  - "example.jp"  "example2.   jp" のコンテンツサーバの機能を提供してい
    る。
    - "example.jp" は自組織のドメインであり、マスタサーバとして動作し
      ている。
    - "example2.jp" は別組織のドメインであり、セカンダリサーバとして動
      作している。
 
なお、後に説明する一部の設定を除いて、本設定は BIND 8  BIND 9 で共通
に利用できるものです。但し、実際に利用する場合は、controls (以下の例で
は省略) を正しく設定してください。controls が無くても動作しますが、設
定ファイルの再読み込みなどができなくなることがあります。
 
    キャッシュ・コンテンツ兼用サーバ
   -------------------------------------------------------------------
     1  //  [パート 1] 自組織のネットワークの設定
     2  //
     3  acl my-network {
     4      202.11.16.0/23 ;
     5      192.168.100.0/24 ;
 &n  bsp;   6      172.20.0.0/16 ;
     7  } ;
     8  
     9  //  [パート 2] グローバルオプションの設定
    10  //
    11  options {
    12      fetch-glue no ;             // BIND 9では不要
    13      recursion yes ;             // キャッシュサーバの場合 yes
    14      directory "/etc/ns" ;
    15  
    16      allow-query {
    17          localhost ;
    18      &nb   sp;   my-network ;
    19      } ;
    20      allow-transfer { none ; } ;
    21  };
    22  
    23  //  [パート 3] ルートサーバへの hint 情報
    24  //
    25  zone "." {
  &   nbsp; 26      type hint ;
    27      file "named.root" ;
    28  } ;
    29  
    30  //  [パート 4] example.jpのマスターサーバとしての設定
    31  //
    32  zone "example.jp" {
    33        ; type master ;
    34      file "example.jp.zone" ;
    35      allow-query { any ; } ;
    36      allow-transfer { 172.20.10.1 ; } ;
    37  } ;
    38  
    39  //  [パート 5] example2.jpのセカンダリーサーバとしての設定
    40  //
    41  zone "example2.jp" {
    42      type slave ;
    43      file "bak/example2.jp.zone" ;
    44      masters { 192.168.100.200 ; } ;
    45      allow-query { any ; } ;
    46  } ;
   -------------------------------------------------------------------
 
  [パート 1] 自組織のネットワークの設定
 
  3  7 行目は、アクセス制限を行うために、自組織のネットワークを定義
  しています。ここでは、"my-network" という名前で、自組織のネットワー
  クである 202.11.16.0/23192.168.100.0/24172.20.0.0/16  3    つの 
  IP アドレスの範囲を指定しています。
 
  [パート 2] オプションの設定
 
  11  21 行目がグローバルなオプションの設定です。12 行目の 
  fetch-glue は必ず no ��鮴瀋蠅靴泙后���首鞜�赱鈑重劉孑�舵猟���鞜郛ではいかなる場合�も 
  fetch-glue の機能は no ですので、この行は不要です。13 行目の 
  recursion yes が、BIND をキャッシュサーバとして動作させるために必要
  なオプションです。BIND のデフォルト値は yes ですが、ここでは明示的に
  記述しています。
 
  16  19 行目がアクセス制限の肝となる、allow-query の設定です。
  allow-query には、アクセスを許可するネットワークを記述するため、[パー
   1]で記述した自組織のネットワークと、localhost (127.0.0.1  ::1) 
  からのアクセスを指定します。グローバルオプションで allow-query を記
  述することで、このサーバ全体が指定ネットワークからのアクセスのみを許
  可するようになります。
 
  BIND ではデフォルトで任意のサーバからのゾーン転送を許すため、20 行目
   allow-transfer  none を指定し、一旦全てのサーバからのゾーン転送
  を禁止します。
 
  [パート 3] ルートサーバへの hint 情報
 
  25  28 行目がルートサーバへの hint 情報です。これはキャッシュサー
  バとして動作させる場合に必要なものですので、必ず記述してください。尚 
  &qu  ot;named.root" は、本ドキュメント執筆時点では、2004  1  29 日のも
  のが最新です (ファイル内に日付が記述してあります)。もしこれより古い
  ものしか手元に無い場合には、最新版を以下より入手して下さい。
 
    ftp://ftp.internic.net/domain/named.root
 
  [パート 4] example.jp のマスタサーバとしての設定
 
  32  37 行目までが "example.jp" のマスタサーバとしての設定です。ゾー
  ン情報は、example.jp.zone というファイルに保存してあります。
 
  ここでもっとも重要なのが 35 行目の allow-query の行です。このサーバ
  では [パート 2]  options で、自組織のネットワークのみアクセスを許
  可する設定を行っています。したがって、このままではコンテンツサーバと
  して組織外からの問い合わせに回答しなくなるため、35 行目の 
  allow-query  any を指定して、インターネット全体からの問い合わせに
  回答するように設定します。
 
  36 行目の allow-transfer は、example.jp のセカンダリサーバである
  172.20.10.1 へのゾーン転送を許可する設定です。
 
  [パート���首鞜�赱鈑重劉孑�弓��逅跂荻褓��鞜郛のセカンダリーサーバと��ての設定
 
  41  46 行目までが "example2.jp" のセカンダリサーバとしての設定です。
  example.jp のマスタサーバの設定と同様に、45 行目の allow-query を設
  定しています。
 
 BIND でのキ��礇奪轡絅機璽个肇灰鵐謄鵐張機璽个諒���首鞜�赱鈑重劉孑昭鏈霈鹿鏈霈鹿齔瘤昭�鞜郛鹿頏緇腫鱚昭齔瘤�瘤臀杜��齡�綵с闌闥今崖崖崖Ь種咋商鈞齔纂�咋昭�鞜郛鹿頏緇腫鱚昭齔瘤�瘤臀杜��齡�綵с闌闥今崖崖崖Ь舵猟��鞜郛首鞜�齡�綵с闌闥今崖崖崖Ьはキャッシュ・コンテンツ兼用型として設定されることがあります。し
かし、コンテンツサーバとキャッシュサーバを分離することで、ルータやファ
イアウォールによる適切なパケットフィルタリングなどを行うことが可能にな
ります。上記の設定を元にキャッシュサーバとコンテンツサーバを分離した設
定例を以下に示します。
<   o:p> 
現在� BIND 8 でキャッシュ・コンテンツ兼用サーバを運用している場合は、こ
の設定のように分離した運用を行うことを強く推奨します。
 
    コンテンツサーバ用の設定
   -------------------------------------------------------------------
     1  //  [パート 2] グローバルオプションの設定
        2  //
     3  options {
     4      fetch-glue no ;             // BIND 9 では不要
     5      recursion no ;              // コンテンツサーバの場合は no
     6      directory "/etc/ns" ;
     7&nb   sp;     allow-transfer { none ; } ;
     8  };
     9  
    10  //  [パート 3] ルートサーバへの hint 情報
    11  //
    12  zone "." {
    13      type hint ;
    14      file "/dev/null" ;  // ファイル名に /dev/null を指定する
    15  } ;
    16  
    17  //  [パート 4] example.jp のマスターサーバとしての設定
    18  //
    19  zone "example.jp" {
    20      type master ;
       21      file "example.jp.z  one" ;
    22      allow-transfer { 172.20.10.1 ; } ;
    23  } ;
    24  
    25  //  [パート 5] example2.jp のセカンダリーサーバとしての設定
    26  //
    27  zone "example2.jp" {
    28      type slave ;
    29      file "bak/example2.jp.zone" ;
    30      masters { 192.168.100.200 ; } ;
    31  } ;
   -------------------------------------------------------------------
 
特に重要なところは、5 行目の recursion no  13 行目の hint 情報のファ
イル名として &q   uot;/dev/null" を指定している点です。この設定では、特�� 
allow-query でアクセス制限を行う必要は無いため、[パート 1]にあたる acl 
の設定はありません。
 
   キャッシュサーバ用の設定
   -------------------------------------------------------------------
    1  //  [パート 1] 自組織のネット��錙璽�寮瀋��首鞜�赱鈑重劉孑昭鏈霈鹿鏈霈鹿齔瘤昭�鞜郛鹿頏緇腫鱚昭齔瘤�瘤臀杜��齡�綵с闌闥今崖崖崖Ь�碵雹�碵雹�碵雹��碵雹��鏈霈鹿鏈霈鹿齔瘤昭�鱚昭頏緇首鞜�赱鈑重劉孑��跂洲竢跫鮑3崖崖皆商鈞齔殺鈞齔殺鈞齔�界鈞齔�痺�逋�續�鳬�種咋昭�咋昭�鞜郛鹿頏緇腫鱚昭齔瘤�瘤臀杜��齡�綵с闌闥今崖崖崖Ь�碵雹�碵雹�碵雹��碵雹�碵雹�碵雹�碵雹�碵雹�芦�窺蔚���纂鏈霈鹿鏈霈鹿齔瘤昭�鱚昭頏緇首鞜�赱鈑重劉孑��跂洲竢跫鮑3崖崖皆商鈞齔殺鈞齔殺鈞齔�畿鈞齔殺鈞齔殺鈞齔殺鈞齔殺鈞齔�厩荻蔚軒碓握渥牡�種咋昭�咋昭�鞜郛鹿頏緇腫鱚昭齔瘤�瘤臀杜��齡�綵с闌闥今崖崖崖Ь�碵雹�碵雹�碵雹��碵雹�碵雹�碵雹�碵雹�碵雹�群�握握渥蔚�種咋昭�咋昭�鞜郛鹿頏緇腫鱚昭齔瘤�瘤臀杜��齡�綵с闌闥今崖崖崖Ь�碵雹�碵雹�碵雹��碵雹��種咋昭�咋昭�鞜郛鹿頏緇腫鱚昭齔瘤�瘤臀杜��齡�綵с闌闥今崖崖崖Ь�碵雹�碵雹�碵雹��碵雹�鏈霈鹿鏈霈鹿齔瘤昭�鱚昭頏緇首鞜�赱鈑重劉孑��跂洲竢跫鮑3崖崖皆商鈞齔殺鈞齔殺鈞齔殺鈞齔珊�碵雹��鈞齔�杣�鞜郛首鞜�齡�綵с闌闥今崖崖崖���ぢパート 2] グローバルオプションの設��
   10  //
   11  options {
   12      fetch-glue no ;             // BIND 9 では不要
   13      recursion yes ;             // キャッシュサーバの場合 yes
   14      directory "/etc/ns" ;
   15  
   16      allow-query {
   17          localhost ;
   18          my-network ;
   19      } ;
   20  };
   21  
   22  //  [パート 3] ルートサーバへの hint 情報
   23  //
   24  zone "." {
   25      type hint ;
   26      file "named.root" ;
   27  } ;
   -------------------------------------------------------------------
 
キャッシュサーバとしては、ゾーンの設定が不要ですので [パート 4]  [パー���首鞜�赱鈑重劉孑昭鏈霈鹿鏈霈鹿齔瘤昭�鞜郛鹿頏緇腫鱚昭齔瘤��跂洲竢跫鮑3崖崖皆�ぢト 5] にあたる部分を除いただけとなります。
 
 
▼攻撃の踏み台とならないために djbdns 
 
djbdns は、キャッシュサーバとコンテンツサーバがそれぞれ別々の実装になっ
ており、キャッシュサーバとコンテンツサーバの兼用はできません。コンテン
ツ��機璽个��首鞜�赱鈑重劉孑��銷粮鷦�鞜郛、キャッシュサーバは<  span lang=EN-US> dnscache です。
 
dnscache は、BIND と違い、指定した IP アドレスからのみアクセスを受け付
けます。このため、すでに設定されている dnscache  DDoS の踏み台として
利用される可能性は低いのですが、この機会に改めて設定の見直しを行うこと
をお勧めします。
 
dnscache のアクセス制限は、設定ディレクトリ内の ip ディレクトリにある
ファイルで指定します。ここでは、/var/service/dnscache/root/ip であると
します。
 
 $ cd /var/service/dnscache/root/ip
 $ ls
 127.0.0.1    202.11.16
 
この場合は、ローカ��襯曠好箸任△襦��首鞜�赱鈑重劉孑庄卸�����鞜郛と 202.11.16.0/24 からのア
クセスを許すようになっています。アクセス制限の範囲を広げて 
202.11.16.0/23 からのアクセス (つまり 202.11.16.0/24  
202.11.17.0/24) を許可するのであれば、上記の環境で以下を実行します。
 
 $ touch /var/service/dnscache/root/ip/202.11.17
 
 
▼攻撃の踏み台とならないために Windows DNS サービス編
 
Windows  DNS サーバである、Windows DNS サービスは、単体ではアクセス
を制限する機能はありません。またコンテンツサーバとキャッシュサーバの機
能が兼用となっています。このため、キャッシュサーバにアクセス制限を行う
には、2 台のサーバを使い、キャッシュサーバとコンテンツサーバを物������首鞜�赱鈑重劉孑昭鏈霈鹿鏈霈鹿齔瘤昭�鞜郛鹿頏緇腫鱚昭齔瘤���跂洲竢跫鮑3崖崖皆�ぢ分離し、キャッシュサーバ側にのみルータ等の外部の機器によるアクセス制限
を施す必要があります。
 
Windows DNS サービスで、コンテンツ専用サーバとするには、DNS コンソール
のプロパティを選びます。詳細タブに「再帰を無効にする」というチェックボッ
クスがあるので、ここを選択すると、コンテンツ専用サーバになります。
 
   ---------------------------------------------------------------------
 

株式会社日本レジストリサービス Copyright©2001-2012 Japan Registry Services Co., Ltd.