Dynamic DNSの基礎とnsupdateコマンド:実用 BIND 9で作るDNSサーバ(7)(3/3 ページ)
Dynamic DNSの動作確認とセキュリティ対策
/var/log/messagesの確認
デバッグ情報を表示させることで、リアルタイムにupdateの正否を確認できますが、サーバ側の/var/log/messagesでも状況を把握できます。
Jun 30 01:12:30 host named[XXXXX]: client 192.168.20.21#40865: update 'example.jp/IN' denied |
| ACLなどでupdate拒否された例 |
Jul 1 00:31:13 host named[XXXXX]: client 192.168.20.21#41321: updating zone 'example.jp/IN': adding an RR |
| updateに成功した例。続けてjnlファイルが作成され、差分ゾーン転送が実行されている |
Jul 1 01:09:54 host named[XXXXX]: client 192.168.20.21#41323: updating zone 'example.jp/IN': update failed: 'name in use' prerequisite not satisfied (NXDOMAIN) |
| prereqで設定した前提条件によるupdateが実行されなかった例 |
ログを確認していると、named起動時に次のような行が記録されている場合があります。
Jun 30 15:40:11 host named[XXXXX]: zone 'example.jp' allows updates by IP address, which is insecure |
これは、IPアドレスを基にした規制では不十分であるという警告です。これに対しては、TSIGを用います。
TSIG(Transaction Signature)の利用
TSIGは、すでに第5回で登場しています。第5回ではゾーン転送時のセキュアな手段として紹介しましたが、ここでも威力を発揮します。
設定作業は第5回と同じように行います。まず、dnssec-keygenコマンドで共有鍵を作成します。作業するのは、マスター・ゾーンサーバ側、nsupdateを実施するクライアント側のどちらでも構いません。
# /usr/sbin/dnssec-keygen -a HMAC-MD5 -b 512 -n HOST example.jp |
| 注:コマンドパスおよびexample.jpは、環境に応じて書き換えてください。 |
「key」「private」といった拡張子を見ると、公開鍵暗号方式が使用されているように思えますが、ここではHMAC-MD5を使用しており、2つのファイルの中に記載されるパスフレーズは同じものです。以下のnamed.confの設定ではKexample.jp.+157+01798.keyから鍵を抽出していますが、Kexample.jp.+157+01798.privateを使っても同じになります。
$ more Kexample.jp.+157+01798.key |
次に、生成されたファイルから共有鍵(上の赤字の個所)を抜き出し、named.confに埋め込みます。
key "example.jp" { |
| /etc/named.conf |
named.confの変更を有効にするために、namedプロセスの再起動やrndcコマンドでreloadを実行しましょう。
次に、nsupdateを行うクライアント側の設定です。先ほど作成したファイルのうち、どちらか1つをクライアント側にコピーしておきます。
$ /usr/bin/nsupdate -k ./Kexample.jp.+157+24115.key |
| 注:コマンドパスおよび鍵ファイルへのパスは環境に応じて書き換えてください。 |
前述のとおり、公開鍵/秘密鍵のような区別がないため、.privateファイルでも同じようにnsupdateを実行できます。
$ /usr/bin/nsupdate -k ./Kexample.jp.+157+24115.private |
これで、「allows updates by IP address, which is insecure」と/var/log/messagesに警告が表示されることはなくなります。残念なのは、TSIG署名とIP ACLによる制限でand条件を掛けられないことです。TSIG署名かIP ACLどちらかの条件を満たせばupdateが可能なため、「TSIG署名かつIP ACL」のような制限を掛けることはできません。
update-policyの利用
BIND 9では、allow-updateだけではなくupdate-policyを利用することができます。allow-updateはゾーンそのものの許可の有無を設定するものでしたが、「Aレコードだけupdateさせたい」「MXレコードは変えさせない」など、update-policyを利用すればレコードの種類ごとにセキュリィティポリシーを設定できます。
key "example.jp" { |
| named.conf |
update-policyには、次のような指定を行います。
grant keyの名前 nameタイプ name (type) |
| 許可する場合 |
deny keyの名前 nameタイプ name (type) |
| 許可しない場合 |
nameタイプには、次のものを使用します。
| name | 更新を行うFQDNホスト名がnameと同じ場合 |
|---|---|
| subdomain | 更新を行うFQDNホスト名がnameをドメインの一部に持つとき |
| wildcard | 更新を行うFQDNホスト名がnameのワイルドカード指定にマッチする場合 |
| self | 更新を行うFQDNホスト名が「keyの名前」と同じ場合(後ろのname指定は無視されるが、省略はできない) |
例に使用した、
grant example.jp wildcard *.example.jp. A; |
は、「example.jp.」にマッチするFQDNホスト名のupdateで、かつAレコードを登録する場合のみ許可されることになります。この設定であれば、MXが書き換えられて見当外れのサーバにメールが配送されたり、NSが書き換えられてしまうなどのトラブルを未然に防ぐことができます。仮に、CNAMEやMXなどのAレコード以外の登録を行おうとすると、
Jul 2 04:31:31 host named[XXX]: client 127.0.0.1#1046: updating zone 'example.jp/IN': update failed: rejected by secure update (REFUSED) |
のような警告が/var/log/messagesに記録されます。
jnlファイルとトラブルの対処法
大変便利なupdateですが、ゾーンファイルを直接編集する際は、特に注意が必要です。BIND 9のDynamic DNSはupdate要求をjnlファイルにいったん蓄えるため、すぐにディスク上のゾーンファイルに反映させません。
namedプロセスが不意に停止しても、jnlファイルがあれば反映されていない情報も再度同期を試みます。しかし、手動でゾーンファイルを編集してしまうと、差分情報であるjnlファイルとの整合性が取れなくなり、/var/log/messagesに次のような警告が記録されます。
Jul 2 01:57:43 host named[XXXXX]: zone example.co.jp/IN: journal rollforward failed: journal out of sync with zone |
こうなってしまった場合は更新差分の反映をあきらめてjnlファイルを削除し、再度namedを起動します。
今回は、BIND 9付属のnsupdateを使ってDynamic DNSの使い方を紹介しました。次回は、DHCPなどの動的IP割り当てサービスとの連携方法や、簡単なスクリプトを使った自家製Dynamic DNSサーバを構築します。
- BIND 9を徹底活用するためのTips集
- DNSの拡張仕様、SRVレコードとENUM
- 次世代のセキュリティ拡張DNSSECをBIND 9で実現
- IPv6対応DNSサーバの実現
- BIND 9のチューニングと大規模運用
- BIND 9の運用情報収集と分析方法
- BIND 9のセキュリティ対策
- DHCPとDynamic DNSの連携システム
- Dynamic DNSの基礎とnsupdateコマンド
- サブドメインの運用と委任
- スレーブ・サーバのゾーン転送とセキュリティ
- キャッシュ/逆引きDNSの構築と運用
- メール/Webサーバを効率的に動かすゾーン設定
- すべての基礎、マスター・ゾーンサーバの設定
- BIND 9の改ざんチェックとインストール
関連記事
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。