4.7. BIND
BIND 設定には主要な変更点がいくつかあります。
- デフォルトの ACL 設定
- Red Hat Enterprise Linux 5 では、デフォルトの ACL 設定では全ホストに対して問い合わせを許可し、 また再帰的な問い合わせを提供していました。 Red Hat Enterprise Linux 6 のデフォルトでは、 信頼すべきデータに対する問い合わせは全ホストが行えますが、 再帰的な問い合わせについてはローカルネットワークのホストしか行うことはできません。
- 新しい
allow-query-cache
オプション allow-recursion
オプションは非推奨となり、このオプションが使用されるようになっています。信頼できないデータ全て (再帰的な検索や root ネームサーバーのヒントなど) を含むサーバーのキャッシュへのアクセスを制御します。- Chroot 環境の管理
bind-chroot-admin
スクリプトは chroot 以外の環境から chroot 環境への symlink の作成に使用されていましたが、廃止されなくなります。代わりに設定は chroot 以外の環境で直接管理ができるようになります。このため、ファイルがまだ chroot に存在しない場合、named
の起動中に init スクリプトにより必要なファイルが chroot 環境に自動的にマウントされます。/var/named
ディレクトリーのパーミッション/var/named
ディレクトリーには書き込みができなくなります。書き込みを必要とするゾーンファイル (動的 DNS ゾーン、DDNS など) はすべて書き込み可能となる新しいディレクトリ/var/named/dynamic
に配置するようにしてください。dnssec [yes|no]
オプションの削除- グローバルなオプション
dnssec [yes|no]
は、新たにdnssec-enable
とdnssec-validation
の 2 種類のオプションに分割されています。dnssec-enable
オプションは DNSSEC サポートを有効にします。dnssec-validation
オプションは DNSSEC 検証を有効にします。dnssec-enable
を再帰的サーバーで「no」に設定すると、DNSSEC 検証を行う別のサーバーではフォワーダーとしては使用できないということになります。いずれのオプションもデフォルトでは「yes」にセットされています。 controls
ステートメントrndc
管理ユーティリティを使用している場合は、/etc/named.conf
内でcontrols
ステートメントを指定する必要がなくなります。named
サービスは自動的にループバックデバイスを介して制御の接続を許可し、named
とrndc
の両方がインストール時に生成された同じシークレットキー (/etc/rndc.key
内にある) を使用します。
デフォルトのインストールでは、BIND は DNSSEC 検証が有効の状態でインストールされるだめ、ISC DLV レジスターを使用します。つまり、キーを ISC DLV レジスター内に持つ署名付きドメイン (gov.、 se.、 cz. など) はすべて再帰的サーバー上で暗号化検証が行われます。キャッシュポイゾニングの試行により検証が失敗した場合、エンドユーザーにはこの偽のなりすましデータは与えられません。Red Hat Enterprise Linux 6 では DNSSEC の導入に完全対応しています。DNSSEC はエンドユーザーにとってインターネットをより安全に利用できるようにするための重要なステップとなります。前述のように DNSSEC 検証は
/etc/named.conf
内の dnssec-validation
オプションを使って制御します。