カテゴリー
SugiBlog Webエンジニアのためのお役立ちTips

DNSSEC最上位の暗号鍵更新に対する対応

サーバーを自前で運用している方にはとても重要な内容でした。
私が管理しているサーバーは問題なかったのですが、念のため覚書として記しておきます。

参考にさせていただいたサイト
https://cloudadvisor.jp/blog/dnssec_update

DNSが「ルートゾーンKSKの更新」に対応されているか確認
以下のコマンドを打ちます。

1dig +bufsize=4096 +short rs.dns-oarc.net txt

返ってくる答えの中で「at least」の後にある数値が1424以上であれば問題ないそうです。

1,040 views

SPFレコード”~all”と”-all”の違い

末尾の「~all」と「-all」の違い。

~all

設定以外のアドレスは当該ドメインのメールサーバとして認証しないが、
正当なメールであっても認証失敗する可能性もある

-all

設定以外のアドレスは当該ドメインのメールサーバとして認証しない

「~all」としておくと、認証に失敗した場合でもはっきり認証失敗として扱って
ほしくないという意味になるため、「-all」で問題がなければ、できる限り避けるべきである、
とされている。

SPFレコードが正しく設定されているか確認できるサイトがあります。
http://www.sendmail.co.jp/sa/spfcheck.html

12,638 views

BINDのバージョンを隠ぺい

BINDが稼働しているサーバーに、以下のようなコマンドを実行するとBINDのバージョンが分かってしまいます。

1$ dig @ネームサーバーのアドレス chaos txt version.bind

これを隠してしまうよう設定を変更しましょう。

まず設定前の状態を確認します。

1$ dig @dns.example.jp chaos txt version.bind
2 
3; <<>> DiG 9.3.6-P2 <<>> @dns.example.jp chaos txt version.bind
4; (1 server found)
5;; global options:  printcmd
6;; Got answer:
7;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 37859
8;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0
9 
10;; QUESTION SECTION:
11;version.bind.                  CH      TXT
12 
13;; ANSWER SECTION:
14version.bind.           0       CH      TXT     "9.2.4"
15 
16;; AUTHORITY SECTION:
17version.bind.           0       CH      NS      version.bind.
18 
19;; Query time: 45 msec
20;; SERVER: 192.168.1.0#53(192.168.1.0)
21;; WHEN: Wed Dec  4 13:52:17 2013
22;; MSG SIZE  rcvd: 62

ANSWER SECTIONにバージョンが返ってきてしまいます。
続きを読む…»

3,603 views

DNSサーバーをオープンリゾルバーにしない

今年に入って、DNSの再帰的な問い合わせを使ったDDos攻撃が報告されているようです。
DNSキャッシュサーバーとして運用している場合でも、制限を設けて適切に設定をしておかないと、
DDos攻撃の踏み台にされてしまいます。

詳しくはこちらのサイトを参考にしてください。
http://www.jpcert.or.jp/pr/2013/pr130002.html

管理しているサーバーがオープンリゾルバーになっていないかどうかを確認するサイトが開設されています。
http://www.openresolver.jp/

OSやBINDのバージョンによっても異なりますが、設定例をご紹介します。

まず、オープンリゾルバーになっていないかを確認します。
前述したオープンリゾルバー確認サイトも確認できますが、ここではコマンドラインで確認します。

1$ wget -qO - http://www.openresolver.jp/cli/check.html

コマンドを実行すると結果が表示されます。

1your remote ip: close 192.0.2.1(gw.example.com)
2your use resolver: open 192.0.2.2(ns.example.com)

続きを読む…»

7,905 views

セカンダリDNSサーバーの設定

自前でセカンダリDNSサーバーを構築する際の設定例をご紹介します。

まずプライマリDNSサーバーの設定。
/etc/named.confでセカンダリを用意したいドメインのゾーン設定を修正します。

1zone "example.jp" in {
2    type master;
3    file "example.jp";           //ゾーン設定ファイルを指定
4    allow-transfer { 0.0.0.0; }; //セカンダリDNSサーバーのIPアドレス
5};

allow-trasferでセカンダリDNSサーバーからのゾーン転送を許可する。※セキュリティ上必須

次にセカンダリDNSサーバーの設定をします。
/etc/named.conf

1zone "example.jp" in {
2    type slave;               //セカンダリなのでタイプをスレーブに指定
3    file "slaves/example.jp"; //ゾーン設定ファイルを指定(省略可)
4    masters { 0.0.0.0 };      //プライマリDNSサーバーのIPアドレス
5};

それぞれnamedを再起動し設定完了。
ちなみに、ゾーン転送はTCP53ポートを使用するらしいのですが、UDPを解放しないとできなかった。
続きを読む…»

7,331 views