第1章 BIND DNS サーバーのセットアップおよび設定
BIND は、Internet Engineering Task Force (IETF) の DNS 標準およびドラフト標準に完全に準拠した機能豊富な DNS サーバーです。たとえば、管理者は BIND を次のように頻繁に使用します。
- ローカルネットワークでの DNS サーバーのキャッシング
- ゾーンの権威 DNS サーバー
- ゾーンに高可用性を提供するセカンダリーサーバー
1.1. SELinux を使用した BIND の保護または change-root 環境での BIND の実行に関する考慮事項
BIND インストールを保護するには、次のことができます。
change-root 環境なしで
named
サービスを実行します。この場合、enforcing
モードの SELinux は、既知の BIND セキュリティー脆弱性の悪用を防ぎます。デフォルトでは、Red Hat Enterprise Linux は SELinux をenforcing
モードで使用します。重要RHEL で SELinux を
enforcing
モードで使用して BIND を実行すると、change-root 環境で BIND を実行するよりも安全です。name-chroot
サービスを change-root 環境で実行します。管理者は、change-root 機能を使用して、プロセスとそのサブプロセスのルートディレクトリーが
/
ディレクトリーとは異なるものであることを定義できます。named-chroot
サービスを開始すると、BIND はそのルートディレクトリーを/var/named/chroot/
に切り替えます。その結果、サービスはmount --bind
コマンドを使用して、/etc/named-chroot.files
にリストされているファイルおよびディレクトリーを/var/named/chroot/
で使用できるようにし、プロセスは/var/named/chroot/
以外のファイルにアクセスできません。
BIND を使用する場合:
-
通常モードでは、
named
サービスを使用します。 -
change-root 環境では、
named-chroot
サービスを使用します。これには、named-chroot
パッケージを追加でインストールする必要があります。
関連情報
-
システムの
named (8)
man ページのRed Hat SELinux バインドセキュリティープロファイル
セクション