2017-09-26 サーバーを自前で運用している方にはとても重要な内容でした。
私が管理しているサーバーは問題なかったのですが、念のため覚書として記しておきます。
参考にさせていただいたサイト
https://cloudadvisor.jp/blog/dnssec_update
DNSが「ルートゾーンKSKの更新」に対応されているか確認
以下のコマンドを打ちます。
1 | dig +bufsize=4096 +short rs.dns-oarc.net txt |
返ってくる答えの中で「at least」の後にある数値が1424以上であれば問題ないそうです。
2013-12-09 末尾の「~all」と「-all」の違い。
設定以外のアドレスは当該ドメインのメールサーバとして認証しないが、
正当なメールであっても認証失敗する可能性もある
設定以外のアドレスは当該ドメインのメールサーバとして認証しない
「~all」としておくと、認証に失敗した場合でもはっきり認証失敗として扱って
ほしくないという意味になるため、「-all」で問題がなければ、できる限り避けるべきである、
とされている。
SPFレコードが正しく設定されているか確認できるサイトがあります。
http://www.sendmail.co.jp/sa/spfcheck.html
2013-12-04 BINDが稼働しているサーバーに、以下のようなコマンドを実行するとBINDのバージョンが分かってしまいます。
1 | $ dig @ネームサーバーのアドレス chaos txt version.bind |
これを隠してしまうよう設定を変更しましょう。
まず設定前の状態を確認します。
1 | $ dig @dns.example.jp chaos txt version.bind |
2 |
3 | ; <<>> DiG 9.3.6-P2 <<>> @dns.example.jp chaos txt version.bind |
4 | ; (1 server found) |
5 | ;; global options: printcmd |
6 | ;; Got answer: |
7 | ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 37859 |
8 | ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0 |
9 |
10 | ;; QUESTION SECTION: |
11 | ;version.bind. CH TXT |
12 |
13 | ;; ANSWER SECTION: |
14 | version.bind. 0 CH TXT "9.2.4" |
15 |
16 | ;; AUTHORITY SECTION: |
17 | version.bind. 0 CH NS version.bind. |
18 |
19 | ;; Query time: 45 msec |
20 | ;; SERVER: 192.168.1.0#53(192.168.1.0) |
21 | ;; WHEN: Wed Dec 4 13:52:17 2013 |
22 | ;; MSG SIZE rcvd: 62 |
ANSWER SECTIONにバージョンが返ってきてしまいます。
続きを読む…»
2013-12-04 - 更新:2013-12-05 今年に入って、DNSの再帰的な問い合わせを使ったDDos攻撃が報告されているようです。
DNSキャッシュサーバーとして運用している場合でも、制限を設けて適切に設定をしておかないと、
DDos攻撃の踏み台にされてしまいます。
詳しくはこちらのサイトを参考にしてください。
http://www.jpcert.or.jp/pr/2013/pr130002.html
管理しているサーバーがオープンリゾルバーになっていないかどうかを確認するサイトが開設されています。
http://www.openresolver.jp/
OSやBINDのバージョンによっても異なりますが、設定例をご紹介します。
まず、オープンリゾルバーになっていないかを確認します。
前述したオープンリゾルバー確認サイトも確認できますが、ここではコマンドラインで確認します。
1 | $ wget -qO - http://www.openresolver.jp/cli/check.html |
コマンドを実行すると結果が表示されます。
1 | your remote ip: close 192.0.2.1(gw.example.com) |
2 | your use resolver: open 192.0.2.2(ns.example.com) |
2013-11-01 - 更新:2013-12-06 自前でセカンダリDNSサーバーを構築する際の設定例をご紹介します。
まずプライマリDNSサーバーの設定。
/etc/named.confでセカンダリを用意したいドメインのゾーン設定を修正します。
1 | zone "example.jp" in { |
2 | type master; |
3 | file "example.jp"; //ゾーン設定ファイルを指定 |
4 | allow-transfer { 0.0.0.0; }; //セカンダリDNSサーバーのIPアドレス |
5 | }; |
allow-trasferでセカンダリDNSサーバーからのゾーン転送を許可する。※セキュリティ上必須
次にセカンダリDNSサーバーの設定をします。
/etc/named.conf
1 | zone "example.jp" in { |
2 | type slave; //セカンダリなのでタイプをスレーブに指定 |
3 | file "slaves/example.jp"; //ゾーン設定ファイルを指定(省略可) |
4 | masters { 0.0.0.0 }; //プライマリDNSサーバーのIPアドレス |
5 | }; |
それぞれnamedを再起動し設定完了。
ちなみに、ゾーン転送はTCP53ポートを使用するらしいのですが、UDPを解放しないとできなかった。
続きを読む…»
Fedoraインストール時にごちゃごちゃになったHDの整理の... (25/02/14) 先ほど、同様の事象に遭遇し、貴サイトの記事のお力により無事起... (23/06/26) 有り難うございます。
非常に助かりました。 (23/06/07) よくできた (23/05/01) 今朝起きたら、同様の惨事になってまして、ネット徘徊の後、こち... (22/10/02)
