2.08.1 BINDの設定と管理
/etc/named.conf
主な設定項目(ステートメント)
options ステートメントで設定する主なオプション
rndcコマンド
書式
rndc [オプション] サブコマンド
サブコマンド
DNSのソフトウェア
BIND
・多くのディストリビューションで標準的に使用されます。
・フルリゾルバ(キャッシュサーバ)と権威サーバの両方の機能を持っています。
dnsmasq
・DNSのキャッシュサーバやDHCPサーバなどの機能を持つソフトウェアです。
・BINDに比べて軽量で設定も容易ですので、簡易的なDNSキャッシュサーバとして利用できます。
NSD(Name Server Daemon)
・NLnet Labsという組織によって開発・保守が行われている権威サーバです。
・他のDNSサーバに問い合わせを行うフルリゾルバの機能はありません。
・BINDに比べてパフォーマンスが良く設定も容易です。
Unbound
・NSDと同じくNLnet Labsによって開発・保守が行われているフルリゾルバです。
・BINDと同様にDNSSEC(※)をサポートしています。
※公開鍵暗号方式を用いた電子署名により、正当なDNSサーバからのゾーン情報である事を認証し、またゾーン情報が改竄されていないことを保証する技術
PowerDNS
・RDB(リレーショナルデータベース)などをバックエンドデータベースとして使用できるDNSサーバです。
・RDBの他にLDAPやBINDのゾーンファイル(ドメインの詳細情報が記載されたファイル)をバックエンドに使用できます。
・PowerDNSは権威サーバとフルリゾルバの機能を異なるプロセスで処理します。
2.08.2 ゾーン情報の管理
ゾーンファイル
主なディレクティブ
リソースレコードに使用する主なリソースタイプ
2.08.3 セキュアなDNSサーバーの実現
chroot
コマンド例
named -t /chroot -u uhoge -g ghoge
namedのオプション
DNSSECとTSIG
dnssec-keygenコマンドの書式
dnssec-keygen [オプション] 鍵の名前(※DNSSECの場合はZone名)
主なオプション
DANE(DNS-based Authentication of Named Entities)
DANEとは
・DNSSECの技術を応用して認証にDNSを使う仕組み
・X509の証明書とDNSの紐づけで認証を行う仕組み
・デジタル署名されたレコードをTLSAレコードという
