By Jamie Norrish
問題を避けるためのオプション設定
いくつか簡単な作業を行えば、サーバをより安全にでき、 またサーバの負荷を低減できます。 ここで紹介する内容は出発点に過ぎません。 セキュリティのことを考えるなら (考えるべきです)、 ネット上にある他のリソースにあたってください ( 最後の章をご覧ください)。
以下の指定は named.conf
に行います。
これらの指定をこのファイルの options
の内部に書くと、
このファイルでリストされたすべてのゾーンに適用されます。
特定の zone
エントリの内部に書くと、
そのゾーンだけに適用されます。
zone
内部に書かれたエントリは
options
に書かれたエントリよりも優先されます。
スレーブサーバがドメインに対する問合わせに応えるには、
プライマリサーバからゾーンの情報を転送してくる必要があります。
しかしスレーブサーバ以外のホストには、この転送の必要はないはずです。
ですからゾーン転送は
allow-transfer
オプションを使って制限しましょう。
例えば ns.friend.bogus の IP アドレスである
192.168.1.4 と、
それからデバッグ用の自分自身を追加するならば:
zone "linux.bogus" { allow-transfer { 192.168.1.4; localhost; }; };
ゾーン転送を制限すれば、外部の人々から見えるのは、 彼らが直接尋ねたホストに関する内容だけに限られます。 DNS 設定の詳細全体を問合わせることはできなくなるのです。
まず、内部ネットワークとローカルのマシンからのものをのぞき、 あなたの管理するドメイン以外への問合わせは禁止しましょう。 これは、 悪意を持ってあなたの DNS サーバを利用しようとする試みを禁止するだけでなく、 本来不必要な問合わせを減らします。
options { allow-query { 192.168.196.0/24; localhost; }; }; zone "linux.bogus" { allow-query { any; }; }; zone "196.168.192.in-addr.arpa" { allow-query { any; }; };
さらに内部/ローカルからのものを除き、再帰的な問合わせも禁止します。 これによりキャッシュ汚染攻撃 (cache poisoning attack: 間違ったデータをサーバに送りつけること) の危険性が減らせます。
options { allow-recursion { 192.168.196.0/24; localhost; }; };
named を root 以外から実行するのは良い考えです。 破られたときに、クラッカーに奪われる権限を減らすことが出来ますから。 まず named を動作させるユーザを作り、 次に named を起動している init スクリプトを修正します。 新しく作ったユーザ名を、 named の -u フラグに指定します。
例えば Debian GNU/Linux 2.2 なら、
/etc/init.d/bind
スクリプトを以下の行のように修正します
(ユーザ named
はあらかじめ作成しておきます):
start-stop-daemon --start --quiet --exec /usr/sbin/named -- -u named
Red Hat や他のディストリビューションでも同様にできるはずです。
Dave Lugo は、二つの chroot を用いたセキュアな設定を http://www.etherboy.com/dns/chrootdns.html で解説しています。きっと興味を持たれる読者が多いでしょう。 これを用いれば named を動かしているホストをさらに安全にできます。