CentOS7でBINDをバージョンアップする2つの方法

ども。あいしんくいっと（@ithinkitnet）です。

DNSサーバとしてメジャーではあるものの、脆弱性対応で非常に手間がかかることでも有名なBIND。
使っているところも多い分、こういった脆弱性をついた攻撃のターゲットにされやすいんでしょうね。

というワケで、今回はBIND「9.10.3-P3」⇒「9.10.3-P4」へのバージョンアップ手順について書いておきたいと思います。

本手順ではソースインストール、パッケージインストールと２種類のbindバージョンアップ手順を記載しています。

検証したOSは「CentOS7」となります。

CentOS7でbindをバージョンアップする2つの方法

ソースインストールしたbindバージョンアップ

バージョンアップの流れとしては、バージョンアップ用のbind-9.10.4-P3.tar.gzを解凍し、configureしてmake、make installといった流れになります。

# ls /usr/local/sbin/
arpaname dnssec-keygen lwresd nsec3hash
ddns-confgen dnssec-revoke named rndc
dnssec-checkds dnssec-settime named-checkconf rndc-confgen
dnssec-coverage dnssec-signzone named-checkzone tsig-keygen
dnssec-dsfromkey dnssec-verify named-compilezone
dnssec-importkey genrandom named-journalprint
dnssec-keyfromlabel isc-hmac-fixup named-rrchecker

namedバージョンの事前確認

# /usr/local/sbin/named -v
BIND 9.10.3-P3

コンフィグオプションの確認

configureする前にオプションの確認を行います。
旧のBINDインストールをインストールした際のモジュールがあれば、そこからコンフィグオプションを確認しておくと安心です。
ソースモジュールの中の「config.status」を確認するとconfigure時に使用されたであろうオプションが確認可能です。
「BIND9_CONFIGARGS」という項目です。

# grep BIND9_CONFIGARGS config.status
S["BIND9_CONFIGARGS"]="CONFIGARGS='--disable-ipv6' '--enable-chroot' '--disable-openssl-version-check' '--without-openssl'"

configure実行

確認したオプションをつかってconfigureします。

# ./configure --disable-ipv6 --enable-threads --enable-chroot --disable-openssl-version-check --without-openssl

make && make install

続いてmake、make installしていきます。

# make & make install

named再起動

bindのインストールが終わったら、namedを再起動します。

# /etc/init.d/named restart

※環境に合わせた方法でnamed再起動

これで/usr/local/sbin以下にnamedをはじめとしたモジュール群がインストールされました。
あとは/usr/sbin以下に上書きインストールして使うなり、そのまま使うなりでBINDバージョンアップ完了となります。

namedバージョンの事後確認

bindがバージョンアップされたことを確認します。

# /usr/local/sbin/named -v
BIND 9.10.4-P3

RPMパッケージでインストールしたbindバージョンアップ

namedバージョンの事前確認

# rpm -qa | grep bind

bindアップデート

# yum update bind

namedバージョンの事後確認

# rpm -qa | grep bind

以上、あいしんくいっとでした( ..)φメモメモ