Red Hat Training

A Red Hat training course is available for RHEL 8

第4章 BIND DNS サーバーのセットアップおよび設定

BIND は、Internet Engineering Task Force (IETF) の DNS 標準およびドラフト標準に完全に準拠した機能豊富な DNS サーバーです。たとえば、管理者は BIND を次のように頻繁に使用します。

  • ローカルネットワークでの DNS サーバーのキャッシング
  • ゾーンの権威 DNS サーバー
  • ゾーンに高可用性を提供するセカンダリーサーバー

4.1. SELinux を使用した BIND の保護または change-root 環境での BIND の実行に関する考慮事項

BIND インストールを保護するには、次のことができます。

  • change-root 環境なしで named サービスを実行します。この場合、enforcing モードの SELinux は、既知の BIND セキュリティー脆弱性の悪用を防ぎます。デフォルトでは、Red Hat Enterprise Linux は SELinux を enforcing モードで使用します。

    重要

    RHEL で SELinux を enforcing モードで使用して BIND を実行すると、change-root 環境で BIND を実行するよりも安全です。

  • name-chroot サービスを change-root 環境で実行します。

    管理者は、change-root 機能を使用して、プロセスとそのサブプロセスのルートディレクトリーが / ディレクトリーとは異なるものであることを定義できます。named-chroot サービスを開始すると、BIND はそのルートディレクトリーを /var/named/chroot/ に切り替えます。その結果、サービスは mount --bind コマンドを使用して、/etc/named-chroot.files にリストされているファイルおよびディレクトリーを /var/named/chroot/ で使用できるようにし、プロセスは /var/named/chroot/ 以外のファイルにアクセスできません。

BIND を使用する場合:

  • 通常モードでは、named サービスを使用します。
  • change-root 環境では、named-chroot サービスを使用します。これには、named-chroot パッケージを追加でインストールする必要があります。

関連情報

  • named(8) man ページの Red Hat SELinux BIND security profile セクション