########################################################## # # 2016年度 1st DNS サーバ 入れ替え手順書 (Ver.1.0) # # 2016/11/08 梅内 紫芳 2015 年度 1st DNS サーバ手順書から作成 # ########################################################## □ 構築ドキュメントとインストールするもの ・OS - Debian GNU/Linux 8.2 (Jessie) ・インストールソフト + ssh + ntpdate + bind9 + gate-toroku-system + syslog-ng + logwatch ・構築ドキュメント http://www.ep.sci.hokudai.ac.jp/~epdns □ メモ ・サーバが停止する期間は 11/25(金) 10:00-19:00 . ・入れ換え日までに OS、bind9、gate-toroku-system (の一部) その他ツール群のインストールを済ませておく. ・入れ換え日はサーバの入れ替え、gate-toroku-system のインストールの残り, 細かな設定の調整を行う. ・全作業が完了したらメールで報告して DNS サーバ再開. ・細かな作業が多いのでサーバ入れ替えの流れを良く 理解し混乱しないようにすること. ・入れ換え順序 - ホスト名の張り変えは以下のようになる 2015年度 2016年度 yellow (1st) ==> kihada (1st予備) kihada (1st予備) ==> yellow (1st) blue (2nd) ==> aoi (2nd予備) aoi (2nd予備) ==> blue (2nd) □ 作業内容 - 1st DNS kihada (1st 予備) ==> yellow (1st) yellow (1st) ==> kihada (1st予備) [ 入れ換え日前日まで ] 0. ドキュメントのプリントアウト 不測の事態に備え http://www.ep.sci.hokudai.ac.jp/~epdns/dvlop/ 以下を紙にプリントアウトして資料室に保存しておく. 1. OS のインストール http://www.ep.sci.hokudai.ac.jp/~epdns/dvlop/basic/ 2. bind のインストール http://www.ep.sci.hokudai.ac.jp/~epdns/dvlop/bind/index.html 1st DNS サーバとして bind のインストール, 及び設定を行う. 3. gate-toroku-sysytem のインストール(1) http://www/~gate/dvlop/y2006/gate-reconfig.html#before_change [ 入れ換え当日 ] (2016/11/25 予定) + kihada での作業 + 番号の前に * がついているものは現行の yellow での作業 *1. 現サーバからいくつかの設定ファイルをバックアップ http://www.ep.sci.hokudai.ac.jp/~epdns/dvlop/basic/backup.html - /etc/shadow, /etc/passwd, /etc/group, /etc/sudoers - バックアップ先は適宜 $ scp -r /etc/shadow mondo1@kihada.ep.sci.hokudai.ac.jp:/home/mondo1/ - コピーしたファイルの持ち主変更 # chown root:root * # chmod 400 * *2. 現 yellow をシャットダウン 3. ホスト名、IP アドレスの変更 - kihada から yellow へ. - 具体的には以下のファイルを下記のように書き換え + /etc/hosts - 133.87.45.70 yellow.ep.sci.hokudai.ac.jp yellow + /etc/hostname - yellow + /etc/mailname - yellow.ep.sci.hokudai.ac.jp + /etc/exim4/update-exim4.conf.conf - dc_other_hostnames='yellow.ep.sci.hokudai.ac.jp' - kihada という名前が残っていないか確認 + $ sudo grep kihada /etc/* + $ sudo grep 133.87.45.114 /etc/* # 見つかった場合修正し, 再度上記コマンドを実行する # このあとの作業で不具合が生じた場合は /etc/*/* 等で広い範囲も確認してみる - IP アドレスの変更 + interfaces の編集前に networking を停止 - # service networking stop + /etc/network/interfaces を編集 - # The loopback network interface auto lo iface lo inet loopback # The primary network interface allow-hotplug eth0 iface eth0 inet static address 133.87.45.70 netmask 255.255.255.0 network 133.87.45.0 broadcast 133.87.45.255 gateway 133.87.45.1 # dns-* options are implemented by the resolvconf package, if installed dns-nameservers 133.87.45.70 133.87.45.66 133.87.1.11 dns-search ep.sci.hokudai.ac.jp 4. 新設定の読み込み # hostname --file /etc/hostname # reboot # service networking start # ifconfig eth0 # service syslog-ng restart 5. gate-toroku-system のインストール(2) http://www/~gate/dvlop/y2011/gate-reconfig.html#after_change - 公開鍵作り直し www サーバで gate 管理者もしくはwww 管理者が作業 を行う. + すでにある公開鍵の削除 - ~gate/.ssh/known_hosts 中の yellow の行を削除 + 中身はホスト名もハッシュ値でかかれており,見ただけではわ からないので下記のコマンドを使う + $ ssh-keygen -F yellow.ep.sci.hokudai.ac.jp で known_hosts から yellow に該当する行を表示 + $ ssh-keygen -R yellow.ep.sci.hokudai.ac.jp で known_hosts から yellow に該当する行を削除 + $ ssh-keygen -F 133.87.45.70 で known_hosts から yellow に該当する行を表示 + $ ssh-keygen -R 133.87.45.70 で known_hosts から yellow に該当する行を削除 + 新たに公開鍵を取得する. - $ ssh yellow.ep.sci.hokudai.ac.jp - アドレスはフルドメインで入力する. - 公開鍵を作りますかと聞かれ yes を入力. - gate.conf の確認 + orange の /etc/gate.conf の %DB_SHARE_HOSTS に yellow が書き 込まれているか確認. + 新yellow の /etc/gate.conf が本気モードになっているかを確認. - /etc/shadow, /etc/passwd の編集 + /etc/shadow および /etc/passwd を, バックアップファイルによって gate より下の行を書き換える - データベース転送 + www で gate ユーザになり telnet 接続. - $ telnet localhost 8888 - 転送完了の確認(yellow での確認) + gate-daily が動いていないことを確認 - $ ps aux | grep gate + /etc/passwd が gate-daily にとって更新されているか確認 - $ ls -lt /etc/passwd - このとき表示される時間が数分前であればよい. 6 logwatch の設定 下記のコマンドでメールの設定を行う - $ sudo dpkg-reconfigure exim4-config - メール設定の一般的なタイプ: "インターネットサイト: メールは SMTP を使って直接送受信される" を選択. - システムメール名: yellow.ep.sci.hokudai.ac.jp に設定. - 入力側 SMTP 接続をリスンする IP アドレス: 空にする. - メールを受け取るその他の宛先: yellow.ep.sci.hokudai.ac.jp に設定. - メールをリレーするドメイン: 空にする. - メールをリレーするマシン: 空にする. - DNS クエリの数を最小限に留めますか(ダイヤルオンデマンド)? <いいえ>を選択. - ローカルメールの配送方式: "ホームディレクトリ内の Maildir 形式" を選択. - 設定を小さなファイルに分割しますか? <いいえ>を選択. 7. 各ソフトウェアの動作確認 - bind9 + $ host -l ep.sci.hokudai.ac.jp - logwatch + $ sudo logwatch --mailto hogehoge@ep.sci.hokudai.ac.jp + $ sudo logwatch --service sshd 8. /etc/passwd, /etc/shadow の修正 - 新しくできた /etc/passwd, /etc/shadow の人名の行(gate より下) を, バックアップしておいたファイルで置き換える. - mondo 以外でログイン 9. 後始末 - お片付け + /ETC, /HOME を削除 - # rm -r /ETC /HOME + mondo ユーザを削除 - # deluser --remove-home mondo1 - テプラのはりかえ - gate 登録更新 + MAC アドレス入れ替え 10. 再構築完了をメール(epcore-ml)で報告、1st DNS サーバ再開 !