Menu Close

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.5.11. 接続が提供されるドメインの DNSSEC 検証の設定

デフォルトでは、適切なネームサーバーを持つ転送ゾーンが、NetworkManagerを介したWi-Fi接続を除き、あらゆる接続によって提供されるすべてのドメインに対して、dnssec-triggerによって自動的にunboundに追加されます。デフォルトでは、unbound に追加されたすべての転送ゾーンは DNSSEC 検証済みです。
転送ゾーンの検証に関するデフォルトの動作は、デフォルトではすべての転送ゾーンが DNSSEC で 検証されない ように、変更することができます。これを行うには、dnssec-trigger 設定ファイル /etc/dnssec.confvalidate_connection_provided_zones 変数を変更します。root ユーザーで、以下のように行を開いて編集します:
validate_connection_provided_zones=no
この変更は、既存の転送ゾーンに対しては行われず、将来のフ転送ゾーンに対してのみ行われます。したがって、現在提供されているドメインの DNSSEC を無効にする場合は、再接続する必要があります。

4.5.11.1. Wi-Fi 提供ドメインの DNSSEC 検証の設定

Wi-Fi 提供ゾーンの転送ゾーンの追加を有効にすることができます。これを行うには、dnssec-trigger 設定ファイルである /etc/dnssec.confadd_wifi_provided_zones 変数を変更します。root ユーザーで、以下のように行を開いて編集します:
add_wifi_provided_zones=yes
この変更は、既存の転送ゾーンに対しては行われず、将来のフ転送ゾーンに対してのみ行われます。したがって、現在の Wi-Fi 提供ドメインで DNSSEC を有効にする場合は、Wi-Fi 接続を再接続 (再起動) する必要があります。
警告
Wi-Fi 提供ドメインを転送ゾーンとして unbound に追加することを オン にすると、セキュリティー面で以下のような影響があります。
  1. Wi-Fi アクセスポイントは、権限を持たない DHCP を介して意図的にドメインを提供し、すべての DNS クエリーを DNS サーバーにルーティングできます。
  2. 転送ゾーンの DNSSEC 検証を オフ にしている場合、Wi-Fi が提供する DNS サーバーは、知らないうちに、提供されたドメインのドメイン名の IP アドレスをスプーフィングできます。