unbound-control(8)

unbound-control

Section: unbound 1.4.17 (8)
Updated: May 24, 2012


名前

unbound-control, unbound-control-setup – Unboundリモートサーバー制御ユーティリティ

書式

unbound-control [-h] [-c cfgfile] [-s server] command

説明

Unbound-controlunbound(8) DNSサーバーのリモート管理を行います。設定ファイルを読み込み、unboundサーバーにSSL越しで接続し、コマンドを送り、結果を表示します。

利用できるオプションは以下の通りです。

-h
バージョンとコマンドライン オプションのヘルプを表示します。
-c cfgfile
設定を読み込む設定ファイル。省略したら、デフォルトの設定ファイルが使われます。
-s server[@port]
接続するサーバーのIPv4かIPv6のアドレス。省略したら、アドレスは設定ファイルから読まれます。

コマンド

以下のコマンドが利用できます。

start
サーバーを起動します。単にunbound(8)を実行します。unboundの実行ファイルは環境変数PATHから検索します。-cを使って指定した設定ファイルかデフォルトの設定ファイルを使って起動します。
stop
サーバーを停止します。サーバー・デーモンが終了します
reload
サーバーをリロードします。これはキャッシュを削除し、新しい設定ファイルを読み込みます。
verbosity number
ログ出力の饒舌さの値を変更します。unbound.conf(5)におけるverbosityキーワードと同じ値です。サーバーがreload(設定ファイルの再読込)制御コマンドか次のverbosity制御コマンドが発行されるまでこの新しい設定値は続きます。
log_reopen
ログファイルを開き直します。一度閉じてから開きます。ログ出力しているファイルをデーモンが離すので、ログローテーションに役に足ります。syslogを使っているのであれば、syslogを閉じて、開き直すのを試みます。ただし、chrootのときはうまく動かないかもしれません。
stats
統計を出力します。統計を出力します。内部カウンタを0にリセットします。これはstatistics-cumulative設定オプションを使って制御できます。統計は行毎に[名前]: [値]の形式で出力されます。
stats_noreset
統計を覗きます。statsコマンドと同じように出力します。しかし、内部カウンタを0にリセットしません。
status
サーバーの状態を表示します。(ポートへの接続が拒否されて)動かなければ終了コードは3、エラーは1、動けば0です。
local_zone name type
名前とタイプを伴ったローカル・ゾーンを追加します。local-zone設定オプションと同じです。そのゾーンがすでに存在していたら、タイプは与えられた引数に変更されます。
local_zone_remove name
与えられた名前のローカル・ゾーンを削除します。そのゾーン内の全てのローカル・データも削除します。そのゾーンが存在しなかったら、コマンドは成功します。
local_data RR data…
新しいローカル・データ、すなわち与えられたリソース・レコードを追加します。そのゾーンが存在しないときを除いて、local-data設定オプションと同じです。この場合は、このリモート制御コマンドはこのレコードと同じ名前のtransparentゾーンを生成します。このコマンドは詳細な文法エラーを返すことはしません。
local_data_remove name
ローカル名から全てのリソース・レコードのデータを削除します。その名前が項目をすでに持っていなければ、何も起きません。(staticゾーンでは)その名前に対して結果はNXDOMAINになります。しかし、その名前が空の終端でないもの(削除された名前の下のドメイン名にまだデータがある)になれば、NOERRORデータなしという回答がその名前に対しての結果になります。
dump_cache
キャッシュの内容が標準出力にテキスト形式で出力されます。ファイルにキャッシュを保存するため、ファイルにリダイレクトできます。
load_cache
キャッシュの内容を標準入力から読み込みます。dump_cacheと同じ形式を使います。古いか間違ったデータのキャッシュを読み込むことは、古いか間違ったデータをクライアントに返すという結果になります。このようにキャッシュにデータを読み込むことはデバッグを手助けするために用意されています。
lookup name
指定した名前を検索するのに使われたネームサーバーを標準出力に出力します。
flush name
キャッシュからその名前を削除します。タイプとしてA, AAAA, NS, SOA, CNAME, DNAME, MX, PTR, SRV, NAPTRを削除します。それは速く行えます。他のレコード・タイプはflush_typeflush_zoneを使って削除できます。
flush_type name type
キャッシュからその名前とタイプの情報を削除します。
flush_zone name
キャッシュからその名前以下の全ての情報を削除します。新しい検索が行われるように、そのRRsetとキー・エントリは削除されます。これは、キャッシュ全体を歩き、検査する必要があり、動作が遅いです。
flush_stats
統計を0にリセットします。
flush_requestlist
実行中のクエリーを落とします。サーバーが実行中のクエリーの実行を止めます。キャッシュは影響を受けません。これらのクエリーに対して返答は送られません。おそらく、後ほど再びこれらのユーザのリクエストが行われます。より高い饒舌さのレベルのような新しい設定でクエリーに働くようにサーバーを再起動させるのに役に立ちます。
dump_requestlist
何を処理しているかを見せます。サーバーが処理している最中のすべてのクエリーを出力します。ユーザが待たされている時間を出力します。内部のリクエストでは、時間は出力されません。それから、モジュールの状態を出力します。
flush_infra all|IP
allであれば、全てのインフラ キャッシュが空にされます。特定のIPアドレスであれば、そのアドレスのエントリーがキャッシュから削除されます。これには、EDNS、ping、不完全データが含まれます。
dump_infra
インフラ キャッシュの内容を見せます。
set_option opt: val
再読込なしに与えられた値をオプションに設定します。それ故に、キャッシュは流されません。オプションは’:’で終わり、空白がそのオプションと値の間になければなりません。このように設定しても、値によっては効果がないものもあります。新しい値は設定ファイルに書き込まれません。すべてのオプションがサポートされるわけでもありません。これはlibunboundのset_optionコールとは異なります。unboundは初期化されていないため、すべての値が使えます。
使える値は次の通りです: statistics-interval, statistics-cumulative, do-not-query-localhost, harden-short-bufsize, harden-large-queries, harden-glue, harden-dnssec-stripped, harden-below-nxdomain, harden-referral-path, prefetch, prefetch-key, log-queries, hide-identity, hide-version, identity, version, val-log-level, val-log-squelch, ignore-cd-flag, add-holddown, del-holddown, keep-missing, tcp-upstream, ssl-upstream。
get_option opt
オプションの値を得ます。’:’なしでオプション名を与えます。その値が出力されます。値が””であれば、何も出力されず、接続は閉じます。エラー時には、’error …’が出力されます(見知らぬオプションによる文法エラーを与えます)。オプションによっては、各行に一つずつのような値の一覧が出力されます。そのオプションはset_optionで修正された設定ファイルから見えます。オーバーライドが行われてもよいオプションによっては、このコマンド(例えば、verbosityやforwardの制御コマンドの結果)では現れません。すべてのオプションが使えるわけではありません。list_stubsとlist_forwardsとlist_local_zonesとlist_local_data for thoseを参照してください。
list_stubs
利用中のスタブ ゾーンの一覧を表示します。出力に1つずつ表示されます。これには利用中のルート ヒントも含まれます。
list_forwards
利用中のフォワード ゾーンの一覧を表示します。出力にゾーン毎に表示されます。
list_local_zones
利用中のローカル ゾーンの一覧を表示します。ゾーン タイプと共に行毎に一つづつ表示されます。
list_local_data
利用中のローカル データのリソース レコードの一覧を表示します。そのリソース レコードが表示されます。
forward_add [+i] zone addr …
動作中のunboundに新しいフォワード ゾーンを追加します。 さらに、+i オプションを付けると、ゾーンに対して(他の名前のためにDNSSECルート トラストアンカーを持っていればinsecureで解決できる)domain-insecureを追加します。unbound.confのforward-zoneの設定のように、アドレスはIPv4 でも IPv6 でもネームサーバーのホスト名でもよいです。
forward_remove [+i] zone
動作中のunboundからフォワード ゾーンを削除します。さらに、+iオプションも付けると、ゾーンに対してdomain-insecureを削除します。
stub_add [+ip] zone addr …
動作中のunboundに新しいスタブ ゾーンを追加します。さらに、+iオプションも付けると、ゾーンに対してdomain-insecureを追加します。+pオプションを付けるとそのスタブゾーンはprimeに設定されます。付けなければnotprimeに設定されます。unbound.confのstub-zoneの設定のように、アドレスはIPv4 でも IPv6 でもネームサーバーのホスト名でもよいです。
stub_remove [+i] zone
動作中のunboundからスタブ ゾーンを削除します。さらに、+iオプションも付けると、ゾーンに対してdomain-insecureを削除します。
forward [off | addr … ]
フォワードのモードを設定します。サーバーが他の上流のネームサーバーに尋ねるべきかを設定します。インターネット ルート ネームサーバー自身に行くべきか、あるいは現在の設定を見せます。DHCP更新の後にネームサーバーを渡すことができます。
引数が無い場合には、すべてのクエリーをフォワードするために使われている現在のアドレスの一覧が表示されます。起動時にはforward-zoneは”.”です。その後、状態を見せます。フォワードが使われていなければ、出力しません。
offが渡されたら、フォワードは無効にされ、ルート ネームサーバーが使われます。これはバギーなネームサーバーやDHCPから返されたDNSSECをサポートしていないネームサーバーを避けるために使うこともできます。しかし、ホテルやホットスポットでは働かないかもしれません。
一つ以上のIPv4やIPv6のアドレスが渡されたら、クエリーをフォワードするのに使われます。このとき、アドレスはスペース区切りです。’@port’でポート番号が正しく設定されます(デフォルトのポートは53(DNS)です。)
デフォルトでは、ルート”.”のためには、設定ファイルからのフォワーダーの情報が使われます。設定ファイルは変更されません。そのため、リロード後にこれらの変更は消えます。設定ファイルでの他のフォワード ゾーンはこのコマンドにより影響を受けません。

終了コード

unbound-controlプログラムは、エラーのときにはステータスコード1で、成功のときにはステータスコード0で終了します。

セットアップ

セットアップはサーバーとクライアントの両方に自己署名証明書とプライベート鍵を要求します。スクリプトunbound-control-setupはデフォルトの実行ディレクトリ、あるいは-dで指定した別のディレクトリにそれらを生成します。鍵ファイルへのアクセス制御の権限を変更すれば、全てのユーザではなくデフォルトの所有者とグループによりunbound-controlを誰が使うかを決めることができます。デーモンがファイルを読み込むのを許可されるように、unbound.confで設定したのと同じユーザ名あるいはrootとしてスクリプトを実行します。例えば次のように実行します:

    sudo -u unbound unbound-control-setup

unbound.confでユーザ名を設定していなければ、デーモンを起動させたユーザの証明のために鍵は読み込み権限を必要とします。スクリプトはディレクトリに存在するプライベート鍵を保存します。rootとしてスクリプトを動かした後に、unbound.confcontrol-enableをオンにしてください。

STATISTIC COUNTERS

The stats command shows a number of statistic counters.

threadX.num.queries
number of queries received by thread
threadX.num.cachehits
number of queries that were successfully answered using a cache lookup
threadX.num.cachemiss
number of queries that needed recursive processing
threadX.num.prefetch
number of cache prefetches performed. This number is included in cachehits, as the original query had the unprefetched answer from cache, and resulted in recursive processing, taking a slot in the requestlist. Not part of the recursivereplies (or the histogram thereof) or cachemiss, as a cache response was sent.
threadX.num.recursivereplies
The number of replies sent to queries that needed recursive processing. Could be smaller than threadX.num.cachemiss if due to timeouts no replies were sent for some queries.
threadX.requestlist.avg
The average number of requests in the internal recursive processing request list on insert of a new incoming recursive processing query.
threadX.requestlist.max
Maximum size attained by the internal recursive processing request list.
threadX.requestlist.overwritten
Number of requests in the request list that were overwritten by newer entries. This happens if there is a flood of queries that recursive processing and the server has a hard time.
threadX.requestlist.exceeded
Queries that were dropped because the request list was full. This happens if a flood of queries need recursive processing, and the server can not keep up.
threadX.requestlist.current.all
Current size of the request list, includes internally generated queries (such as priming queries and glue lookups).
threadX.requestlist.current.user
Current size of the request list, only the requests from client queries.
threadX.recursion.time.avg
Average time it took to answer queries that needed recursive processing. Note that queries that were answered from the cache are not in this average.
threadX.recursion.time.median
The median of the time it took to answer queries that needed recursive processing. The median means that 50% of the user queries were answered in less than this time. Because of big outliers (usually queries to non responsive servers), the average can be bigger than the median. This median has been calculated by interpolation from a histogram.
total.num.queries
summed over threads.
total.num.cachehits
summed over threads.
total.num.cachemiss
summed over threads.
total.num.prefetch
summed over threads.
total.num.recursivereplies
summed over threads.
total.requestlist.avg
averaged over threads.
total.requestlist.max
the maximum of the thread requestlist.max values.
total.requestlist.overwritten
summed over threads.
total.requestlist.exceeded
summed over threads.
total.requestlist.current.all
summed over threads.
total.recursion.time.median
averaged over threads.
time.now
current time in seconds since 1970.
time.up
uptime since server boot in seconds.
time.elapsed
time since last statistics printout, in seconds.

EXTENDED STATISTICS

mem.total.sbrk
If sbrk(2) is available, an estimate of the heap size of the program in number of bytes. Close to the total memory used by the program, as reported by top and ps. Could be wrong if the OS allocates memory non-contiguously.
mem.cache.rrset
Memory in bytes in use by the RRset cache.
mem.cache.message
Memory in bytes in use by the message cache.
mem.mod.iterator
Memory in bytes in use by the iterator module.
mem.mod.validator
Memory in bytes in use by the validator module. Includes the key cache and negative cache.
histogram.<sec>.<usec>.to.<sec>.<usec>
Shows a histogram, summed over all threads. Every element counts the recursive queries whose reply time fit between the lower and upper bound. Times larger or equal to the lowerbound, and smaller than the upper bound. There are 40 buckets, with bucket sizes doubling.
num.query.type.A
The total number of queries over all threads with query type A. Printed for the other query types as well, but only for the types for which queries were received, thus =0 entries are omitted for brevity.
num.query.type.other
Number of queries with query types 256-65535.
num.query.class.IN
The total number of queries over all threads with query class IN (internet). Also printed for other classes (such as CH (CHAOS) sometimes used for debugging), or NONE, ANY, used by dynamic update. num.query.class.other is printed for classes 256-65535.
num.query.opcode.QUERY
The total number of queries over all threads with query opcode QUERY. Also printed for other opcodes, UPDATE, …
num.query.tcp
Number of queries that were made using TCP towards the unbound server.
num.query.ipv6
Number of queries that were made using IPv6 towards the unbound server.
num.query.flags.RD
The number of queries that had the RD flag set in the header. Also printed for flags QR, AA, TC, RA, Z, AD, CD. Note that queries with flags QR, AA or TC may have been rejected because of that.
num.query.edns.present
number of queries that had an EDNS OPT record present.
num.query.edns.DO
number of queries that had an EDNS OPT record with the DO (DNSSEC OK) bit set. These queries are also included in the num.query.edns.present number.
num.answer.rcode.NXDOMAIN
The number of answers to queries, from cache or from recursion, that had the return code NXDOMAIN. Also printed for the other return codes.
num.answer.rcode.nodata
The number of answers to queries that had the pseudo return code nodata. This means the actual return code was NOERROR, but additionally, no data was carried in the answer (making what is called a NOERROR/NODATA answer). These queries are also included in the num.answer.rcode.NOERROR number. Common for AAAA lookups when an A record exists, and no AAAA.
num.answer.secure
Number of answers that were secure. The answer validated correctly. The AD bit might have been set in some of these answers, where the client signalled (with DO or AD bit in the query) that they were ready to accept the AD bit in the answer.
num.answer.bogus
Number of answers that were bogus. These answers resulted in SERVFAIL to the client because the answer failed validation.
num.rrset.bogus
The number of rrsets marked bogus by the validator. Increased for every RRset inspection that fails.
unwanted.queries
Number of queries that were refused or dropped because they failed the access control settings.
unwanted.replies
Replies that were unwanted or unsolicited. Could have been random traffic, delayed duplicates, very late answers, or could be spoofing attempts. Some low level of late answers and delayed duplicates are to be expected with the UDP protocol. Very high values could indicate a threat (spoofing).

ファイル

/etc/unbound/unbound.conf
unboundの設定ファイル。
/var/unbound
プライベート鍵(unbound_server.keyとunbound_control.key)と自己署名証明書(unbound_server.pemとunbound_control.pem)を置くディレクトリ。

関連項目

unbound.conf(5), unbound(8).