BIND DNSで行う名前解決と、各種ネットワークの設定


投稿日:2015年1月24日
  • 0
  • 2



セキュリティに配慮しつつ、外部から正常にアクセスできるようにします

ban

前回」に続いて「GMO VPSを契約してWordPressを安定動作させるまでのサーバ設定方法」第二弾。

このページではドメインとIPの関連付けを行うためにBINDを設定し、合わせて各種ネットワークの設定や脆弱性への対応も済ませます。

今回の解説で利用したVPSはこちら


目次


BINDのインストールと設定

前回に続いてBIND DNSをインストールして名前解決できるようにします。

# yum install bind
(省略)
Dependencies Resolved

================================================================================
 Package          Arch        Version                        Repository    Size
================================================================================
Installing:
 bind             x86_64      32:9.8.2-0.23.rc1.el6_5.1      updates      4.0 M
Installing for dependencies:
 bind-libs        x86_64      32:9.8.2-0.23.rc1.el6_5.1      updates      879 k
 portreserve      x86_64      0.0.4-9.el6                    base          23 k

Transaction Summary
================================================================================
(省略)

ルートネームサーバの情報を取得

/etcディレクトリにルートネームサーバの情報をダウンロードしておきます。

# cd /etc
# wget ftp://ftp.nic.ad.jp/internet/rs.internic.net/domain/named.cache
# mv named.cache db.cache

正引きのゾーンファイルの作成

今回は便宜上ドメイン名を「example.com」、IPを「192.168.0.1」で設定します。
設定するのは以下のとおり。

ドメイン IP
プライマリネームサーバー ns.example.com 192.168.0.1
メールサーバ mail.example.com 192.168.0.1
web用エイリアス www.example.com 192.168.0.1
ftp用エイリアス ftp.example.com 192.168.0.1

ドメインを管理するレジストラにネームサーバの情報を登録しますが、「.com」などはプライマリネームサーバにくわえて、セカンダリネームサーバも設定する必要があります。

プライマリネームサーバはこのサーバが担当しますが、このままではセカンダリネームサーバの設定ができません。
そこでセカンダリネームサーバを「無料のセカンダリDNS マイハマネット」で代用します。
ありがたいことに無料で利用できます。

今回取得したマイハマネットのセカンダリネームサーバのドメインは以下のとおりです。

ドメイン IP
セカンダリネームサーバー1 ns2.maihama-net.com 198.104.58.211
セカンダリネームサーバー2 ns3.maihama-net.com 153.120.38.37

example.comの正引き用ファイルの作成

# vi /var/named/example.com.hosts
$ttl 38400
example.com.	IN	SOA	ns.example.com.	info.example.com. (
		2015012100			; シリアル番号
		10800				; リフレッシュ間隔
		3600				; リトライ間隔
		604800				; ゾーンの有効期
		38400 )				; ネガティブキャッシュ有効期間
example.com.	IN	NS	ns.example.com.		; このゾーンのプライマリマスタ
example.com.	IN	NS	ns2.maihama-net.com.	; マイハマnetのセカンダリマスタ
example.com.	IN	NS	ns3.maihama-net.com.	; マイハマnetのセカンダリマスタ
example.com.	IN	MX	10 mail.example.com.	; メール用
ns.example.com.	IN	A	192.168.0.1
example.com.	IN	A	192.168.0.1
ns2.maihama-net.com.	IN	A	198.104.58.211
ns3.maihama-net.com.	IN	A	153.120.38.37
mail.example.com.	IN	A	192.168.0.1
www.example.com.	IN	CNAME	example.com.		; web用エイリアス
ftp.example.com.	IN	CNAME	example.com.		; ftp用エイリアス

シリアル番号は「年+月+日+設定番号」で管理すると更新忘れが防げるのでお勧めです。

また、他にもドメインがある場合は同じようにドメイン名のhostsファイルを作成しておいてください。

逆引きの設定はGMO VPS契約時に設定したと思うので、ここでは省略します。設定していない場合はコントロールパネルから設定しておいてください。


BINDの設定

正引き用のファイルを作成したのでBINDで指定します。

# cp /etc/named.conf /etc/named.conf.org
# vi /etc/named.conf
//ルートネームサーバのパス
zone "." {
	type hint;
	file "/etc/db.cache";
};

acl my-network {
	# 問い合わせを許可するアドレスの指定
	192.168.0.1;
};

options {
	# キャッシュサーバの場合yes
	recursion yes ;

	# 定義したネットワークからのアクセスを許可
	allow-query {
		localhost;
		my-network;
	};

    # セカンダリネームサーバ用(マイハマネット用)
    allow-transfer {
            153.120.38.37;
            198.104.58.211;
    };

    # IPV6の機能を停止
    listen-on-v6 { none; };

    # namedデーモンのワークディレクトリを指定
    directory "/var/named";

    # PIDファイルの指定
    pid-file "/var/run/named/named.pid";

    # キャッシュポイズニング対策でDNSSEC対応
    dnssec-validation auto;
};

zone "example.com" {
	type master;
	file "/var/named/example.com.hosts";
	# optionsで拒否しているのでこのゾーンファイルに関しては外部からのアクセスを許可する設定
	allow-query { any; };
        allow-transfer {
                153.120.38.37;
                198.104.58.211;
        };
};

BINDのpid用ディレクトリを作成

オプションで指定したpidファイル用のディレクトリを作成
(カーネル2.4.xでは/var/run/named.pidが作れるので問題ないが、2.2.xだとpidが作れずエラーになるため)

# mkdir /var/run/named/
# chown named.named /var/run/named/

rndc用の共通鍵の作成

BIND付属のrndc-confgenコマンドで作成。
rndc-confgenについては詳しくはmanで見てもらうとして、以下のコマンドでは新規ファイルを鍵長512bitでランダムファイルで「/dev/urandom」を利用して作成しています。

# rndc-confgen -a -b 512 -r /dev/urandom

BINDの再起動

# /etc/init.d/named restart

BINDの自動起動設定

調べて3がONでないならonにする。

# chkconfig --list named
# chkconfig named on

正しく起動しているかログの確認

# vi /var/log/messages

ドメインのレジストリ・レジストラの登録

ネームサーバの設定を移管する。
これはレジストラによって異なる。「ムームードメインの場合はこちら」で解説した通り。

自分で作ったプライマリネームサーバのIPとドメインを関連付け、合わせてセカンダリ用のマイハマnetのドメインも設定すること。

最終的には正しく名前解決できているかは「DNSの設定チェック」で調べることができる。
(初回に設定したばかりだと反映されていない場合があるので数日待つべし)


hostsファイルを編集

サーバ内では外部へ問い合わせる必要は無いのでhostsファイルを編集する。
(192.168.0.1の部分は自分のサーバのIPアドレスに。)

# vi /etc/hosts
127.0.0.1       localhost
192.168.0.1  example.com ns.example.com 2nd.example.com mail.example.com ftp.example.com

ipv6を無効にする

# vi /etc/modprobe.d/disable-ipv6.conf
alias net-pf-10 off
alias ipv6 off

自動起動のチェック。3がonならoffにする。

# chkconfig --list ip6tables
# chkconfig ip6tables off

ネットワークの再起動(サーバの再起動しないとダメな場合あり)

# service network restart

DNSクライアントを設定

# vi /etc/nsswitch.conf

hostsの項目を編集

hosts:      files dns
↓
hosts: files nisplus nis dns

ネットワークの設定

# vi /etc/sysctl.conf
このファイルは値の後に#してコメントすると正常に設定されないので注意。
またアクティブ100程度の小規模サイトを想定しています。
# TIME_WAIT状態の軽減
# net.ipv4.tcp_tw_recycle = 1 携帯やロードバランサ導入時に問題になる可能性あり
net.ipv4.tcp_tw_reuse = 1

# 30にしていたが、600位上でてるため更に半分の15秒に変更。
net.ipv4.tcp_fin_timeout = 15

# コネクションのタイムアウト時間の設定。デフォルト7200
net.ipv4.tcp_keepalive_time = 100
# 検査の回数。デフォルト9
net.ipv4.tcp_keepalive_probes = 2
# 次の検査を実行するときの待ち時間。デフォルト75
net.ipv4.tcp_keepalive_intvl = 3

# RFC1337に準拠させる。TIME_WAIT状態のときにRSTを受信した場合、TIME_WAIT期間の終了を待たずにそのソケットをクローズする
net.ipv4.tcp_rfc1337 = 1

# nmapなどでuptime(システムの連続稼働時間)を探られるのを防ぐ。
net.ipv4.tcp_timestamps = 0

# ipv6を無効
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1

以下はコメントアウト。

# Disable netfilter on bridges.
net.bridge.bridge-nf-call-ip6tables = 0
net.bridge.bridge-nf-call-iptables = 0
net.bridge.bridge-nf-call-arptables = 0
↓
# Disable netfilter on bridges.
# net.bridge.bridge-nf-call-ip6tables = 0
# net.bridge.bridge-nf-call-iptables = 0
# net.bridge.bridge-nf-call-arptables = 0

設定の反映。

# /sbin/sysctl -p

NTPサーバーの脆弱性に対応

詳しくは「NTPを利用したNTPリフレクション攻撃の概略と対策」をご覧ください。

# vi /etc/ntp.conf

NICT公開NTPサービスを利用する。

server 0.centos.pool.ntp.org iburst
server 1.centos.pool.ntp.org iburst
server 2.centos.pool.ntp.org iburst
server 3.centos.pool.ntp.org iburst
↓
# server 0.centos.pool.ntp.org iburst
# server 1.centos.pool.ntp.org iburst
# server 2.centos.pool.ntp.org iburst
# server 3.centos.pool.ntp.org iburst
server -4 ntp.nict.jp iburst
server -4 ntp.nict.jp iburst
server -4 ntp.nict.jp iburst

最終行に追加。

# NTP Dos攻撃対策
disable monitor

再起動して設定を反映。

# /etc/init.d/ntpd restart

今回の解説で利用したVPSはこちら
GMOクラウドのVPS

これでBINDとネットワーク関連の調整は完了です。
次は「iptablesの設定とログファイルのローテーション」です。



現在のページを共有する



現在のページに関連する記事

BIND DNSで行う名前解決と、各種ネットワークの設定 BIND DNS サーバの正引き用ゾーンファイルと、逆引き用ゾーンファイルの作成方法
BIND DNSで行う名前解決と、各種ネットワークの設定 DNS Amp攻撃の解説と、踏み台にされないためのBIND DNSの設定
BIND DNSで行う名前解決と、各種ネットワークの設定 NTPを利用したNTPリフレクション攻撃の概略と対策
BIND DNSで行う名前解決と、各種ネットワークの設定 レジストリへの権威ネームサーバの登録と、名前解決に関するネットワークの設定
BIND DNSで行う名前解決と、各種ネットワークの設定 IPアドレスとドメインを結びつける、DNSサーバの役割と名前解決の仕組み
BIND DNSで行う名前解決と、各種ネットワークの設定 BINDのlogを適切に設定して攻撃の予兆を察知しよう
BIND DNSで行う名前解決と、各種ネットワークの設定 iptablesの設定とログファイルのローテーション

おすすめの記事

インストールだけじゃない!yumの設定から便利な使い方まで徹底的に解説

インストールだけじゃない!yumの設定から便利な使い方まで徹底…

Windows 10でpsd形式のファイルをサムネイル表示する方法

Windows 10でpsd形式のファイルをサムネイル表示する方法

WordPressに「トップへ戻る」ボタンを設置して、フックの仕組みについて学ぼう

WordPressに「トップへ戻る」ボタンを設置して、フックの仕組み…

標準のアンインストーラーで消えないソフトを徹底的に削除する方法

標準のアンインストーラーで消えないソフトを徹底的に削除する…

コピペから脱出!iptablesの仕組みを理解して環境に合わせた設定をしよう

コピペから脱出!iptablesの仕組みを理解して環境に合わせた設…

作業効率を飛躍的に向上させる!実務で使うIllustratorのショートカット一覧

作業効率を飛躍的に向上させる!実務で使うIllustratorのショー…

使うであろう文字だけの、HTML・XHTMLエンティティシート

使うであろう文字だけの、HTML・XHTMLエンティティシート

Apacheのmod_deflateでコンテンツを圧縮してサイトを高速化する方法

Apacheのmod_deflateでコンテンツを圧縮してサイトを高速化する…


いただいたコメントなど

  1. linux入門者 のコメント:

    このページは大変おせわになってます。
    ちょっと質問ですが、

    # vi /etc/hosts でファイルを編集する中に「sukegra」ってあるのですが、
    これは何のサーバーなんでしょうか?

    127.0.0.1 localhost
    192.168.0.1 example.com sukegra ns.example.com 2nd.example.com mail.example.com http://ftp.example.com

    • oxy のコメント:

      失礼しました。
      実際の設定ファイルからコピペしたもので、サーバの用の記述が残っていたようです。
      sukegraは必要ありません。

  2. linux入門者 のコメント:

    了解いたしました。ありがとうございます。

コメントを残す

コメントは認証制のため、すぐには反映されません。

プログラミングに関する質問は「日本語でプログラミングの悩みを解決するQ&Aサイト sukegra」をご利用ください。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください