|
次のページ
前のページ
目次へ
6. 基本的なセキュリティオプションBy Jamie Norrish
問題を避けるためのオプション設定
いくつか簡単な作業を行えば、サーバをより安全にでき、 またサーバの負荷を低減できます。 ここで紹介する内容は出発点に過ぎません。 セキュリティのことを考えるなら (考えるべきです)、 ネット上にある他のリソースにあたってください ( 最後の章をご覧ください)。
以下の指定は
6.1 ゾーン転送の制限スレーブサーバがドメインに対する問合わせに応えるには、
プライマリサーバからゾーンの情報を転送してくる必要があります。
しかしスレーブサーバ以外のホストには、この転送の必要はないはずです。
ですからゾーン転送は
zone "linux.bogus" { allow-transfer { 192.168.1.4; localhost; }; }; ゾーン転送を制限すれば、外部の人々から見えるのは、 彼らが直接尋ねたホストに関する内容だけに限られます。 DNS 設定の詳細全体を問合わせることはできなくなるのです。
6.2 不正利用から守るまず、内部ネットワークとローカルのマシンからのものをのぞき、 あなたの管理するドメイン以外への問合わせは禁止しましょう。 これは、 悪意を持ってあなたの DNS サーバを利用しようとする試みを禁止するだけでなく、 本来不必要な問合わせを減らします。
options { allow-query { 192.168.196.0/24; localhost; }; }; zone "linux.bogus" { allow-query { any; }; }; zone "196.168.192.in-addr.arpa" { allow-query { any; }; };
さらに内部/ローカルからのものを除き、再帰的な問合わせも禁止します。 これによりキャッシュ汚染攻撃 (cache poisoning attack: 間違ったデータをサーバに送りつけること) の危険性が減らせます。
options { allow-recursion { 192.168.196.0/24; localhost; }; };
6.3 named を root 以外で実行するnamed を root 以外から実行するのは良い考えです。 破られたときに、クラッカーに奪われる権限を減らすことが出来ますから。 まず named を動作させるユーザを作り、 次に named を起動している init スクリプトを修正します。 新しく作ったユーザ名を、 named の -u フラグに指定します。
例えば Debian GNU/Linux 2.2 なら、
start-stop-daemon --start --quiet --exec /usr/sbin/named -- -u named Red Hat や他のディストリビューションでも同様にできるはずです。 Dave Lugo は、二つの chroot を用いたセキュアな設定を http://www.etherboy.com/dns/chrootdns.html で解説しています。きっと興味を持たれる読者が多いでしょう。 これを用いれば named を動かしているホストをさらに安全にできます。
次のページ 前のページ 目次へ |
[ |