DNSセキュリティの設定：実践でも役立つLPICドリル（10）（3/4 ページ）

■演習問題

　ポイントを押さえたら、演習問題に挑戦してみましょう。問題ごとに、LPIC試験での重要度を記載しています。試験を受ける際の参考にしてください。

問題1

　TSIG認証を利用するコマンドでDNSサーバnamedの制御を行いたい。この設定手順について、次の設問に答えてください。なお、サーバのホスト名はns1、鍵の名前はlinux1とすることにします。

（設問1）BIND9で正しくTSIG鍵を生成するコマンドはどれですか？（1つ選択）

a．dnssec-keygen -a 暗号化アルゴリズム -b 512 -n 鍵の名前タイプ ns1

b．dnssec-keygen -a 暗号化アルゴリズム -b 512 -n 鍵の名前タイプ linux1

c．dnskeygen -a 暗号化アルゴリズム -b 512 -n 鍵の名前タイプ ns1

d．dnskeygen -a 暗号化アルゴリズム -b 512 -n 鍵の名前タイプ linux1

（設問2）生成される鍵についての次の説明で正しいものはどれですか？（3つ選択）

a．生成される鍵は共通秘密鍵である

b．生成される鍵は秘密鍵・公開鍵のペアである

c．生成される鍵の名前タイプはZONEである（設問1で-nの引数はZONEとする）

d．生成される鍵の名前タイプはHOSTである（設問1で-nの引数はHOSTとする）

e．暗号化アルゴリズムはHMAC-MD5である（設問1で-aの引数はHMAC-MD5とする）

f．暗号化アルゴリズムはDSAである（設問1で-aの引数はDSAとする）

（設問3）サーバの設定ファイル/etc/named.confに必要な記述はどれですか？（1つ選択）

a．
　 key "linux1" {
algorithm hmac-md5;
secret "dfBiWU9xSZo4B....R9JyFEJzeOg==";
　　　　　 };

b．
　 key "linux1" {
algorithm DSA;
secret "dfBiWU9xSZo4B....R9JyFEJzeOg==";
　　　　　 };

c．
　 key "ns1" {
algorithm hmac-md5;
secret "dfBiWU9xSZo4B....R9JyFEJzeOg==";
　　　　　 };

d．
　 key "ns1" {
algorithm DSA;
secret "dfBiWU9xSZo4B....R9JyFEJzeOg=="; 　　　　　 };

（設問4）サーバ側とクライアント側（制御コマンド側）での設定がすべて終わった後、ゾーンファイルを編集したのでコマンドによりnamedに再読み込みさせたい。正しいコマンドはどれですか？（1つ選択）

a．ndc -y linux1 reload

b．ndc -n linux1 reload

c．rndc -y linux1 reload

d．rndc -n linux1 reload

正解

（設問1）b
（設問2）a、d、e
（設問3）a
（設問4）c

解説

（設問1）選択肢aは、最後の引数に鍵の名前linux1でなく、ホスト名ns1を指定しているので間違いです。選択肢bは、最後の引数に鍵の名前linux1を指定しているので正解です。選択肢cと選択肢dは、題意と異なりBIND8のコマンドdnskeygenを使っているので間違いです。

（設問2）TSIGは共通秘密鍵でなければならないので、選択肢aは正解、選択肢bは間違いです。TSIGの場合、鍵の名前タイプはHOSTとするので、選択肢cは間違い、選択肢dは正解です。TSIGの場合、暗号化アルゴリズムは共通秘密鍵を生成するHMAC-MD5でなければならないので、選択肢eは正解、選択肢fは間違いです。

（設問3）選択肢aは、鍵の名前にlinux1、暗号化アルゴリズムにhmac-md5を指定しているので正解です。選択肢bは、暗号化アルゴリズムにDSAを指定しているので間違いです。選択肢cは、鍵の名前にns1を指定しているので間違いです。選択肢dは、鍵の名前にns1、暗号化アルゴリズムにDSAを指定しているので間違いです。

（設問4）BIND8のndcコマンドはTSIGをサポートしていません。選択肢aと選択肢bは、ndcコマンドを使用しているので間違いです。選択肢cは、TSIGをサポートしているrndcコマンドを使用し、-yオプションで正しく鍵の名前linux1を指定し、最後の引数で再読み込みのサブコマンドreloadを指定しているので正解です。rndcコマンドに-nオプションはありません。選択肢dは、-nオプションで鍵の名前linux1を指定しているので間違いです。

問題2

　RFC2535で記述されたDNSSEC（DNS Security Extensions）のための鍵の生成について、次の設問に答えてください。

（設問1）BIND9で正しくDNSSEC鍵を生成するコマンドはどれですか？（1つ選択）

a．dnssec-keygen -a 暗号化アルゴリズム -b 512 -n 鍵の名前タイプ ns1

b．dnssec-keygen -a 暗号化アルゴリズム -b 512 -n 鍵の名前タイプ linux1

c．dnskeygen -a 暗号化アルゴリズム -b 512 -n 鍵の名前タイプ ns1

d．dnskeygen -a 暗号化アルゴリズム -b 512 -n 鍵の名前タイプ linux1

（設問2）生成される鍵についての次の説明で正しいものはどれですか？（2つ選択）

a．生成される鍵は共通秘密鍵である

b．生成される鍵は秘密鍵・公開鍵のペアである

c．生成される鍵の名前タイプはZONEである（設問1で-nの引数はZONEとする）

d．生成される鍵の名前タイプはHOSTである（設問1で-nの引数はHOSTとする）

e．暗号化アルゴリズムはHMAC-MD5である

（設問3）生成された鍵をどのように利用するかについての説明で正しいものはどれですか？（2つ選択）

a．クライアントの公開鍵でゾーンデータに署名し、クライアント（リゾルバ）はクライアントの秘密鍵でデータの正当性を検証する

b．サーバの公開鍵でゾーンデータに署名し、クライアント（リゾルバ）はサーバの秘密鍵でデータの正当性を検証する

c．クライアントの秘密鍵でゾーンデータに署名し、クライアント（リゾルバ）はクライアントの公開鍵でデータの正当性を検証する

d．サーバの秘密鍵でゾーンデータに署名し、クライアント（リゾルバ）はサーバの公開鍵でデータの正当性を検証する

正解

（設問1）b
（設問2）b、c
（設問3）d

解説

（設問1）選択肢aは、最後の引数に鍵の名前linux1でなく、ホスト名ns1を指定しているので間違いです。選択肢bは、最後の引数に鍵の名前linux1を指定しているので正解です。DNSSEC鍵の生成コマンドとTSIG鍵の生成コマンドは、暗号化アルゴリズムの指定と鍵の名前タイプの違い、それと場合によって鍵のビット長の違い以外は、書式は同じです。選択肢cと選択肢dは、題意と異なりBIND8のコマンドdnskeygenを使っているので間違いです。

（設問2）DNSSECは秘密鍵・公開鍵のペアでなければならないので、選択肢aは間違い、選択肢bは正解です。DNSSECの場合、鍵の名前タイプはZONEでなければならないので、選択肢cは正解、選択肢dは間違いです。DNSSECの場合、暗号化アルゴリズムは秘密鍵・公開鍵のペアを生成するアルゴリズムでなければならないので、選択肢eは間違いです。

（設問3）DNSSECでは、サーバの秘密鍵でゾーンデータに署名し、クライアント（リゾルバ）はサーバの公開鍵でデータの正当性を検証します。従って、選択肢dが正解、それ以外は間違いです。