Soukaku's HENA-CHOKO Blog

実際にインストールすると、unbound を起動しようとしてコケるんですが、

Job for unbound.service failed because the control process exited with error code.

See "systemctl status unbound.service" and "journalctl -xe" for details.

Job for unbound.service failed because the control process exited with error code.

See "systemctl status unbound.service" and "journalctl -xe" for details.

invoke-rc.d: initscript unbound, action "start" failed.

● unbound.service - Unbound DNS server

   Loaded: loaded (/lib/systemd/system/unbound.service; enabled; vendor preset: enabled)

   Active: activating (auto-restart) (Result: exit-code) since Thu 2019-01-10 23:03:52 JST; 11ms ago

     Docs: man:unbound(8)

  Process: 4360 ExecStart=/usr/sbin/unbound -d $DAEMON_OPTS (code=exited, status=1/FAILURE)

 Main PID: 4360 (code=exited, status=1/FAILURE)

まだこの時点では、bind9 が起動しているので、

Jan 10 23:03:41 nexus01 package-helper[4288]: /var/lib/unbound/root.key does not exist, copying from /usr/share/dns/root.key

Jan 10 23:03:44 nexus01 package-helper[4288]: /var/lib/unbound/root.key has content

Jan 10 23:03:44 nexus01 unbound[4293]: [1547129024] unbound[4293:0] error: can't bind socket: Address already in use for ::1 port 53

Jan 10 23:03:44 nexus01 unbound[4293]: [1547129024] unbound[4293:0] fatal error: could not open ports

Jan 10 23:03:44 nexus01 systemd[1]: unbound.service: Main process exited, code=exited, status=1/FAILURE

Jan 10 23:03:44 nexus01 systemd[1]: unbound.service: Failed with result 'exit-code'.

Jan 10 23:03:45 nexus01 systemd[1]: unbound.service: Service RestartSec=100ms expired, scheduling restart.

Jan 10 23:03:45 nexus01 systemd[1]: unbound.service: Scheduled restart job, restart counter is at 1.

Jan 10 23:03:52 nexus01 package-helper[4323]: /var/lib/unbound/root.key has content

Jan 10 23:03:52 nexus01 unbound[4360]: [1547129032] unbound[4360:0] error: can't bind socket: Address already in use for ::1 port 53

port53 を bind9 が掴んでいるので、当然といえば当然。

とりあえず、このままの状態で unbound の設定していきます。
基本的な設定を行う /etc/unbound/unbound.conf.d/local.conf と

server:

	interface:		0.0.0.0

	interface:		::

	access-control:		0.0.0.0/0	allow

ゾーンの設定をする /etc/unbound/unbound.conf.d/slave_zones.conf の

auth-zone:

	name:			"downtown.jp"

	master:			153.120.6.47

	master:			2401:2500:102:2120:153:120:6:47

	fallback-enabled:	yes

	zonefile:		"/var/lib/unbound/zone_downtown.jp"

	for-downstream:		yes

2つの設定ファイルを用意。（別に、分けなくても大丈夫。）
上の設定例ではゾーンひとつだけですが、 ”auth-zone: 〜" の部分をスレープとして設定したいゾーンの数だけ書けば、複数の転送も出来ます。あと、転送されてきたゾーンファイルの置き場所を "/var/lib/unbound/" 以外にしたいときは、apparmor の設定もいじらんといかんので、その点要注意です。
＃必要最低限の設定なので、あとは必要に応じて変更してくださいね。

起動、そしてゾーン転送の状況を確認する

設定ファイルが用意できたら、bind9 を停止後、unbound を再起動。

nexus01:~# systemctl stop bind9

nexus01:~# systemctl restart unbound

ここでエラーが出なければ、設定ファイルにも問題はないので、ゾーン転送が行われのかを確認します。

nexus01:~# ls -l /var/lib/unbound/
合計 28
-rw-r--r-- 1 unbound unbound  1252  1月 10 23:26 root.key
-rw-r--r-- 1 unbound unbound 20654  1月 10 23:26 zone_downtown.jp

/var/lib/unbound/zone_downtown.jp というファイルが出来ているので、ゾーン転送も成功していますね。

unbound-control コマンドで確認しても

nexus01:~# unbound-control list_auth_zones

downtown.jp.	serial 1271791428

マスタ側の bind9 のログでもゾーン転送の要求があったことを示すログが出ていますんで、問題なし、と。

root@vps2:~# grep -i axfr /var/log/bind9/query.log

10-Jan-2019 23:26:11.688 queries: info: client @0x7f482065c0e0 218.219.149.234#54730 (downtown.jp): query: downtown.jp IN AXFR -T (153.120.6.47)

これで、問題なく動作しているのがわかったので、サーバ再起動時に間違って bind9 が起動しないように、 systemd の設定を変更するか

nexus01:~# systemctl disable bind9

Synchronizing state of bind9.service with SysV service script with /lib/systemd/systemd-sysv-install.

Executing: /lib/systemd/systemd-sysv-install disable bind9

アンインストールするかして、完全に unbound に切り替えてしまいましょう。
と、これで完了です。マスタとなっている bind9 側は設定いじらなくてもよく、スレーブ側の設定だけで終わってしまうので、意外と簡単に出来ました。

今回の例だと、unbound 自身はほんと最低限の動けばいいレベルでしか設定していないので、実運用時はもう少し考える必要があるので、ご注意を。

＃さて、ホントは RHEL/CentOS の環境で、これやりたいのだけど、 1.7 以降の unbound のパッケージをどうやって用意するかで悩んでる…。