Linux Security: 第10章 - BIND のセキュリティ

内向き・外向きの分離

• 外向き
  Web サーバやメールサーバといった外部に公開すべき情報。
  DNS ポイズニングに備え、このサーバではキャッシュ機能を提供しない。

  named.conf:
  options {
  	recursion	no;
  		: # 他にもセキュリティ対策を
  }
  

• 内向き
  社内で利用する情報（全ての情報）
  キャッシュ機能を持ち、外部への問合せ結果も保持する（一般的な設定）

稼働状況の収集

BIND への問合せ統計情報は rndc で確認する事ができる。

初期設定：
# touch /var/named/named.stats
# chown named:named /var/named/named.stats

rndc stats により、統計情報が上記ファイルに追記される。

# rndc stats
# cat /var/named/named.stats
+++ Statistics Dump +++ (1344909398)
success 1
referral 0
nxrrset 0
nxdomain 0
recursion 3
failure 0
--- Statistics Dump --- (1344909398)
+++ Statistics Dump +++ (1344909491)
success 3
referral 0
nxrrset 0
nxdomain 0
recursion 9
failure 9
--- Statistics Dump --- (1344909491)

bind-chroot

Linux BASIC では bind-chroot なしで設定を行ったが、設定後に改めて bind-chroot を導入すると、
/var/named/chroot をトップとした階層が作成される。

$ tree /var/named/chroot
/var/named/chroot/
|-- dev
|   |-- null
|   |-- random
|   `-- zero
|-- etc
|   |-- localtime
|   |-- named.conf
|   `-- rndc.key
|-- proc (/proc への hard link )
`-- var
    |-- log
    |-- named
    |   |-- data
    |   |-- slaves
    |   |-- localdomain.zone  ... 作成したゾーンファイル
    |   |-- localhost.zone
    |   |-- named.root
    |   |-- t141006.zone
    |   `-- yakoshi.zone
    |-- run
    |   |-- dbus
    |   |   `-- system_bus_socket
    |   `-- named
    |       `-- named.pid
    `-- tmp

なお BIND 固有ファイルは chroot 下に移動し、元の場所にはシンボリックリンクを作成する。

その他

• LPIC2 DNS参照
• バナー