![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
-ネームサーバーの唯一無二の選択 #contents *トラブルシューティング [#ub6c3108] **ローカルホスト以外から接続不可能 [#va198b37] -aclは正しくサブネット全部を許可している。 -nmapで調べる nmap -sU -p 53 192.168.11.150 localhostではfilterdとなり、その他のホストではclosedとなった。 -netstatで調べる netstat -ltunp | grep ':53' ローカルホストからのみ受け付けるようになっていた。どうやらセキュリティの関係でデフォルトが厳しくなった模様。 -ローカルホスト以外から受け付けるように設定変更 listen-on port 53 { internal; 127.0.0.1; }; *セキュリティ対策 [#j91eff45] **オープンリゾルバ [#a9bf995c] 自分のドメイン以外をキャッシュしてしまう設定のこと。攻撃者がDDOSの踏み台に使うので内部IPから以外は利用させないように設定しておくべし。プライマリーDNSサーバーとキャッシュDNSサーバーを分離し、プライマリーではRECURSIONを禁止する。 *基本用語を覚える [#m4849a2b] **ゾーン [#y3b723ae] 簡略化のためゾーン=ドメインと考えてみる。ひとつのDNSで複数のゾーンを管理できる。 **TSIG [#e2135158] 共通秘密鍵が一致しないとゾーン転送を許可しないセキュリティの高い仕組み。プライマリーとスレーブで同じ設定を行う。 **レコードの種別 [#obc7c0ef] |SOA|ドメイン情報レコード| |A|正引きレコード| |PTR|逆引きレコード| |MX|メールサーバ用レコード| |CNAME|Canonical Name の略。別名でAレコードに紐づける| *インストール [#pc84a98f] インストールしただけでは設定ファイルがないので起動に失敗する。下記記述を参考にして設定ファイルを用意せよ。 *設定ファイル [#ad441795] **named.conf [#o2d5c018] -/etc/named.confに配置する。 -詳細に関しては[[ここ:http://www.atmarkit.co.jp/flinux/rensai/bind902/bind902a.html]]をみよ // generated by named-bootconf.pl options { directory "/var/named"; # アクセス元制限 allow-query { 127.0.0.1; 192.168.1.0/24; }; # ゾーン転送(セカンダリ複製用途)制限 allow-transfer { 127.0.0.1; 192.168.1.0/24; }; # 見つからなかったときのネームサーバー forwarders { 202.248.0.42; 210.131.113.126; }; }; zone "rutake.com" { type master; file "rutake.com"; }; **その他オプション [#n875dce1] -allow-recursion 下手にキャッシュをさせるとDNS汚染にはまる可能性があるので、基本内向きのみキャッシュサーバの利用対象者を制限する。 -forward first まず、fowardersに転送してだめなら自力で探しに行く -forward only fowardersに転送するのみで、forward先で解決できなくても自力で探しに行かない。 *named.conf以外のファイル [#d999d51f] **named.ca [#g1fd185a] ルートサーバの情報。/var/named/named.caとして保存 ** [#f911a3e5] *オペレーション [#n09cc378] **更新されたゾーン情報を読み込む [#lb493a9f] rndc reload #counter
