4.9. ネットワーク
rpz-drop
が、到達不能なドメインの繰り返し解決を妨げるようになりました。
RHEL 7.7 に同梱される Berkeley Internet Name Domain (BIND) バージョンには、rpz-drop
ポリシーが導入され、DNS 増幅攻撃を軽減することができます。以前は、攻撃者が解決できないドメインのクエリーを多数生成した場合、BIND はそのようなクエリーを解決しようとするため、CPU にかなり負荷がかかっていました。rpz-drop
では、BIND はターゲットドメインに到達できない場合にクエリーを処理しません。この動作により、CPU 容量が大幅に節約されます。
(BZ#1325789)
bind
がバージョン 9.11 にリベースされました。
bind
パッケージがアップストリームバージョン 9.11 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。
新機能:
- セカンダリーサーバー Catalog Zones をプロビジョニングする新しい方法が追加されました。
-
Domain Name System Cookies は、
named
サービスとdig
ユーティリティーにより送信できるようになりました。 - Response Rate Limiting 機能は、DNS 増幅攻撃の軽減を支援できます。
- RPZ の (response-policy zone) のパフォーマンスが改善しました。
-
map
と呼ばれる新しいゾーンファイルが追加されています。このフォーマットに保存されるゾーンファイルは、メモリーに直接マッピングされます。これにより、ゾーンが読み込む速度が大幅に改善します。 -
DNS クエリーを送信し、結果を検証するための
delv
(ドメインエンティティールックアップと検証) と呼ばれる新しいツールが追加されました。このツールは、named
デーモンと同じ内部リゾルバーおよびバリデーターロジックを使用します。 -
新しい
mdig
コマンドが利用できるようになりました。このコマンドは、クエリーを送り、次のクエリーを送る前に応答を待つ代わりに、パイプラインで複数のクエリーを送って応答を待つdig
コマンドです。 -
再帰リゾルバーのパフォーマンスを改善する新しい
prefetch
オプションが追加されました。 -
ビュー間でゾーンデータを共有できる、新しい
in-view
ゾーンオプションが追加されました。このオプションが追加されると、新しいビューは、メモリーに複数のコピーを保存せずに、同じゾーンを確実に保存できます。 -
ゾーンに最大の TTL を強制する新しい
max-zone-ttl
オプションが追加されました。高い TTL を含むゾーンを読み込むと、読み込みに失敗します。動的 DNS (DDNS) により高い TTL を設定することは可能ですが、TTL は切り捨てられます。 - 新しいクォータは、再帰リゾルバーが、サービス拒否攻撃が発生している権威サーバーに送信するクエリーを制限するために追加されました。
-
nslookup
ユーティリティーは、デフォルトで IPv6 アドレスと IPv4 アドレスの両方を検索するようになりました。 -
named
サービスは、起動する前に、その他のネームサーバープロセスが実行しているかどうかを確認します。 -
署名付きゾーンを読み込むと、
named
が、Resource Record Signature (RSIG) の開始時間が将来時にあるかどうかを確認し、存在する場合はすぐに RRSIG を再生成するようになりました。 - ゾーン転送は、ネットワーク使用量を低減するメッセージ圧縮を改善するために、より小さいサイズのメッセージを使用するようになりました。
機能変更:
-
静的チャンネルに対するバージョン
3 の XML
スキーマでは、高速解析を行うために、HTTP インターフェイスにより、新しい統計および平坦化した XML ツリーが提供されます。レガシーのバージョン2 XML
スキーマは、引き続きデフォルトの形式です。
ipset がバージョン 7.1 にリベースされました。
ipset
パッケージがアップストリームバージョン 7.1 にアップグレードされ、以前のバージョンのバグ修正および機能拡張が数多く追加されました。
-
ipset
プロトコルのバージョン 7 では、IPSET_CMD_GET_BYNAME
およびIPSET_CMD_GET_BYINDEX
オペレーションが導入されました。また、ユーザー空間コンポーネントは、カーネルコンポーネントに対応する正確な互換性レベルを検出できるようになりました。 - メモリーリークや user-after-free バグなど、非常に多くのバグが修正されました。
(BZ#1649080)
NetworkManager
が、ブリッジインターフェイスでの VLAN フィルタリングに対応
今回の機能強化により、管理者は対応する NetworkManager
接続プロファイルのブリッジインターフェイスで仮想 LAN (VLAN) フィルターを設定できるようになりました。これにより、管理者はブリッジポートで VLAN を直接定義できます。
NetworkManager
がポリシールーティングルールの設定をサポート
以前は、NetworkManager-dispatcher-routing-rules
パッケージが提供するディスパッチャースクリプトを使用して、NetworkManager
外にポリシールーティングルールを設定する必要がありました。今回の更新で、ユーザーは接続プロファイルの一部としてルールを設定できるようになりました。その結果、プロファイルがアクティブになると、NetworkManager
はルールを追加し、プロファイルが非アクティブ化されるとルールを削除します。