Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.7. BIND

BIND 設定には主要な変更点がいくつかあります。
デフォルトの ACL 設定
Red Hat Enterprise Linux 5 では、デフォルトの ACL 設定では全ホストに対して問い合わせを許可し、 また再帰的な問い合わせを提供していました。 Red Hat Enterprise Linux 6 のデフォルトでは、 信頼すべきデータに対する問い合わせは全ホストが行えますが、 再帰的な問い合わせについてはローカルネットワークのホストしか行うことはできません。
新しい allow-query-cache オプション
allow-recursion オプションは非推奨となり、このオプションが使用されるようになっています。信頼できないデータ全て (再帰的な検索や root ネームサーバーのヒントなど) を含むサーバーのキャッシュへのアクセスを制御します。
Chroot 環境の管理
bind-chroot-admin スクリプトは chroot 以外の環境から chroot 環境への symlink の作成に使用されていましたが、廃止されなくなります。代わりに設定は chroot 以外の環境で直接管理ができるようになります。このため、ファイルがまだ chroot に存在しない場合、named の起動中に init スクリプトにより必要なファイルが chroot 環境に自動的にマウントされます。
/var/named ディレクトリーのパーミッション
/var/named ディレクトリーには書き込みができなくなります。書き込みを必要とするゾーンファイル (動的 DNS ゾーン、DDNS など) はすべて書き込み可能となる新しいディレクトリ /var/named/dynamic に配置するようにしてください。
dnssec [yes|no] オプションの削除
グローバルなオプション dnssec [yes|no] は、新たに dnssec-enablednssec-validation の 2 種類のオプションに分割されています。dnssec-enable オプションは DNSSEC サポートを有効にします。dnssec-validation オプションは DNSSEC 検証を有効にします。dnssec-enable を再帰的サーバーで「no」に設定すると、DNSSEC 検証を行う別のサーバーではフォワーダーとしては使用できないということになります。いずれのオプションもデフォルトでは「yes」にセットされています。
controls ステートメント
rndc 管理ユーティリティを使用している場合は、/etc/named.conf 内で controls ステートメントを指定する必要がなくなります。named サービスは自動的にループバックデバイスを介して制御の接続を許可し、namedrndc の両方がインストール時に生成された同じシークレットキー (/etc/rndc.key 内にある) を使用します。
デフォルトのインストールでは、BIND は DNSSEC 検証が有効の状態でインストールされるだめ、ISC DLV レジスターを使用します。つまり、キーを ISC DLV レジスター内に持つ署名付きドメイン (gov.、 se.、 cz. など) はすべて再帰的サーバー上で暗号化検証が行われます。キャッシュポイゾニングの試行により検証が失敗した場合、エンドユーザーにはこの偽のなりすましデータは与えられません。Red Hat Enterprise Linux 6 では DNSSEC の導入に完全対応しています。DNSSEC はエンドユーザーにとってインターネットをより安全に利用できるようにするための重要なステップとなります。前述のように DNSSEC 検証は /etc/named.conf 内の dnssec-validation オプションを使って制御します。