4.7. BIND
BIND 設定には主要な変更点がいくつかあります。
- デフォルトの ACL 設定
- Red Hat Enterprise Linux 5 では、デフォルトの ACL 設定では全ホストに対して問い合わせを許可し、 また再帰的な問い合わせを提供していました。 Red Hat Enterprise Linux 6 のデフォルトでは、 信頼すべきデータに対する問い合わせは全ホストが行えますが、 再帰的な問い合わせについてはローカルネットワークのホストしか行うことはできません。
- 新しい
allow-query-cacheオプション allow-recursionオプションは非推奨となり、このオプションが使用されるようになっています。信頼できないデータ全て (再帰的な検索や root ネームサーバーのヒントなど) を含むサーバーのキャッシュへのアクセスを制御します。- Chroot 環境の管理
bind-chroot-adminスクリプトは chroot 以外の環境から chroot 環境への symlink の作成に使用されていましたが、廃止されなくなります。代わりに設定は chroot 以外の環境で直接管理ができるようになります。このため、ファイルがまだ chroot に存在しない場合、namedの起動中に init スクリプトにより必要なファイルが chroot 環境に自動的にマウントされます。/var/namedディレクトリーのパーミッション/var/namedディレクトリーには書き込みができなくなります。書き込みを必要とするゾーンファイル (動的 DNS ゾーン、DDNS など) はすべて書き込み可能となる新しいディレクトリ/var/named/dynamicに配置するようにしてください。dnssec [yes|no]オプションの削除- グローバルなオプション
dnssec [yes|no]は、新たにdnssec-enableとdnssec-validationの 2 種類のオプションに分割されています。dnssec-enableオプションは DNSSEC サポートを有効にします。dnssec-validationオプションは DNSSEC 検証を有効にします。dnssec-enableを再帰的サーバーで「no」に設定すると、DNSSEC 検証を行う別のサーバーではフォワーダーとしては使用できないということになります。いずれのオプションもデフォルトでは「yes」にセットされています。 controlsステートメントrndc管理ユーティリティを使用している場合は、/etc/named.conf内でcontrolsステートメントを指定する必要がなくなります。namedサービスは自動的にループバックデバイスを介して制御の接続を許可し、namedとrndcの両方がインストール時に生成された同じシークレットキー (/etc/rndc.key内にある) を使用します。
デフォルトのインストールでは、BIND は DNSSEC 検証が有効の状態でインストールされるだめ、ISC DLV レジスターを使用します。つまり、キーを ISC DLV レジスター内に持つ署名付きドメイン (gov.、 se.、 cz. など) はすべて再帰的サーバー上で暗号化検証が行われます。キャッシュポイゾニングの試行により検証が失敗した場合、エンドユーザーにはこの偽のなりすましデータは与えられません。Red Hat Enterprise Linux 6 では DNSSEC の導入に完全対応しています。DNSSEC はエンドユーザーにとってインターネットをより安全に利用できるようにするための重要なステップとなります。前述のように DNSSEC 検証は
/etc/named.conf 内の dnssec-validation オプションを使って制御します。
