325.4DNS と暗号化

今回は303試験の試験範囲から、「325.4 DNS と暗号化」についての例題を解いてみます。

■トピックの概要
このトピックの内容（2009年12月25日時点）は以下の通りです。トピックの詳細はこちらからご確認ください。

325.4 DNS と暗号化
重要度：5

＜説明＞
BIND DNSサービスの使用方法と設定上のセキュリティ問題について経験と知識があること。

＜主要な知識範囲＞

• BIND v9サービス
• BIND サービスのぜい弱性
• chroot 環境

＜重要なファイル、用語、ユーティリティ＞

• TSIG
• BIND ACLs
• named-checkconf

■例題
BINDのchroot環境について、説明として正しいものを選びなさい。

1. chrootすることで、外部からの攻撃を受けなくなる
2. chrootすることで、万一攻撃されてもシステム全体には影響が及ばない
3. chrootすることで、不正にDNSの情報を取得できなくする
4. chrootすることで、特定のクライアントのみDNSが利用できるようになる

※この例題は実際のLinuC試験とは異なります。

ネットワークサービスに対するセキュリティの脅威として、サービスを利用できなくするほか、そのサービスを乗っ取ることによって、システム内の重要なファイルを奪ったり、書き換えることによってシステム全体を乗っ取るなどの攻撃が考えられます。

chroot環境は、そのサービスプロセスがアクセスできるファイルシステムを制限することで、万一サービスが攻撃されて乗っ取られてしまったりしても、システムにとって重要なファイルのあるディレクトリにアクセスできなくする手法です。

chroot環境を作るには、プロセスから見たルートディレクトリを作り、そのプロセスが動作するために必要なディレクトリ（/etcディレクトリや/devディレクトリなど）を作成しておく必要があります。たとえばいくつかのLinuxディストリビューションでは/var/named/chrootディレクトリ以下をそのようなディレクトリにしています。ですから、BINDの設定ファイルはこのchroot後のディレクトリに配置しておく必要があります。

初めてchroot環境での設定を行う人は戸惑うかもしれませんが、うまく起動後のBINDがファイルにアクセスする様子を頭の中で想像して設定を行うとよいでしょう。325.4 DNS と暗号化