環境はEntry 東京ロケ、CentOS6 32bit。kernelは2.6.18-el5だった。ぐぐると初夏のメンテでほとんどは2.6.32 (Centos6?)にアップデートされているらしく、どうもアップデート漏れのホストにあたってしまったらしい。
まずデーモンの掃除。sshdを設定するまではajaxtermは一応残す。
リブートしてsshdに証明書ログイン確認次第不要サービスを切る、serversman、netfs など勝手インストールされているものを切る。最後に ajaxterm httpd。
手元のVMで試したiptablesをiptabls-saveして転送、iptables-restoreして問題が無ければservice iptables save。元のiptablesは空だった。
が、ここで-m stateは通ったものの、stringやu32は利用できず。
DNS Amp踏み台にされそうなので出来れば設定したいところだけれど、ググってみた限りサポートは今後も期待できなさそう。
ipv6 はそもそもip6tablesモジュール自体入ってないようなので、ipv6無効に。各サービスも一応インターフェースは静的にセット。
yum.repos.d に EPELを追加。
unboundはEPELにあったが、1.4.16で使えない設定が多いためrpmをビルドする。(minimalとかforward firstとか)
http://blog.tnmt.info/2011/04/29/rpmbuild-for-beginner/
を参考にしつつ、
unboundのソースを落としてSOURCEに入れ、unbound.specのバージョンを更新、古いパッチを消してビルド。
configure時に追加で--disable-ecdsaの追加が必要だった。
なお、serversmanがopenssl0.9.8を必要としていてビルドに差し障ったかもしれないので、openssl0.9.8は削除してopensslとdevelもリインストールしておく。
できたrpmをインストールして1.4.19の動作を確認。ひとまず問題なく動いている模様。
キャッシュを少なめに、usedが512MB超えないようにチェックしつつ軽く負荷をかけてチェック。
pingはそこそこ早いようなので十分か。
問題としてはvnetの制限なのか、libpcapがクラッシュしてキャプチャが出来ない。検出ミスチェックに便利なのだけれど。こればかりは完全仮想化にしておけばよかったかも知れない。USにもう一台設置するとしたらkvmにしよう。256MBあればなんとかなる。きがする。
