Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.5.11. Connection Supplied ドメイン向けの DNSSEC Validation の設定

デフォルトでは、適切なネームサーバーを持つ正引きゾーンは、NetworkManager 経由の Wi-Fi 接続を除き、すべての接続が提供するすべてのドメインについて dnssec-trigger によってバインド解除されます。デフォルトでは、バインドされていない正引きゾーンは、DNSSEC で検証されるすべての正引きゾーンです。
正引きゾーンの検証におけるデフォルトの動作を変更しても、すべての正引きゾーンはデフォルトで DNSSEC で検証されないようにしますこれには、dnssec-trigger 設定ファイル /etc/dnssec.confvalidate_connection_provided_zones 変数を変更します。root ユーザーとして以下のように行を開いて編集します。
validate_connection_provided_zones=no
で既存の正引きゾーンについては変更は行われませんが、今後の正引きゾーンのみが対象となります。したがって、現在の提供ドメインの DNSSEC を無効にする場合は、再接続する必要があります。

4.5.11.1. Wi-Fi Supplied ドメイン用の DNSSEC Validation の設定

Wi-Fi が提供するゾーンの正引きゾーンを追加できます。これには、dnssec-trigger 設定ファイル /etc/dnssec.confadd_wifi_provided_zones 変数を変更します。root ユーザーとして以下のように行を開いて編集します。
add_wifi_provided_zones=yes
で既存の正引きゾーンについては変更は行われませんが、今後の正引きゾーンのみが対象となります。したがって、現在の Wi-Fi 提供ドメインの DNSSEC を有効にする場合は、Wi-Fi 接続の再接続(再起動)する必要があります。
警告
正引きゾーンをバインドされていないゾーンとして Wi-Fi 提供ドメインの追加を有効すると、以下のようなセキュリティー上の影響がある場合があります。
  1. Wi-Fi アクセスポイントは、権限を持たない DHCP を介してドメインを提供し、すべての DNS クエリーを DNS サーバーにルーティングできます
  2. 正引きゾーンの DNSSEC 検証をオフにした場合、Wi-Fi 提供の DNS サーバーは、指定したドメインからドメイン名の IP アドレスを偽装できます。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。