2.08.1BINDの設定と管理

LinuCレベル2 202試験の出題範囲から「2.08.1 BINDの設定と管理」についての例題を解いてみます。

Linucレベル2 202試験 出題範囲

例題

named.confで以下のような設定があります。

options {
    __________ { 192.168.100.0/24; };
};

キャッシュDNSサーバとしてBINDが動作している場合、192.168.100.0/24からの再帰問い合わせのみを許可したいときに利用するオプションとして、下線部に当てはまるものは以下のうちどれでしょうか？

1. recursion
2. allow-recursion
3. allow-transfer
4. recursive-clients

※この例題は実際の試験問題とは異なります。

解答と解説

正解は、「2. allow-recursion」です。

BIND（Berkeley Internet Name Domain）は、カリフォルニア大学バークレー校で開発され、現在はISC（Internet Systems Consortium）が開発・管理を行っているDNSサーバです。Mozilla Public License 2.0 に基づいて公開されており、無料でインストールすることができます。BINDは、権威DNSサーバとキャッシュDNSサーバの両方の機能を持っています。

今回の問題は、キャッシュDNSサーバとして動作しているBINDにて、再帰問い合わせを受け入れるIPアドレスおよびサブネットを定義する設定に関する例題です。

BINDでは、DNSサーバーの動作に関する設定をnamed.conf記述する必要があります。再帰問い合わせを受け入れるIPアドレスを定義する場合、optionsステートメント内に以下のように記述をします。

options {
    allow-recursion { <再帰問い合わせ許可IPアドレスおよびサブネット>; };
};

allow-recursionには、特定のIPアドレス、サブネット、ACL（アクセス制御リスト）を指定することができます。リスト内の項目はセミコロン（;）で区切ることで複数指定することもできます。

次に、例題の各選択肢について解説をします。

1. recursion
キャッシュDNSサーバとして、再帰問い合わせを有効または無効にするためのオプションです。
optionsステートメント内に以下のように記述をします。

options {
    recursion <yes または no>;
};

3. allow-transfer
権威DNSサーバとして、指定したIPアドレスやサブネットからのゾーン転送要求を許可するオプションです。
optionsステートメント内に以下のように記述をします。

options {
    allow-transfer { <ゾーン転送要求許可IPアドレスおよびサブネット>; };
};

4. recursive-clients
キャッシュDNSサーバとして、同時に処理できる再帰問い合わせの最大数を設定するためのオプションです。
optionsステートメント内に以下のように記述をします。

options {
    recursive-clients <同時に処理できる再帰問い合わせ最大数>;
};

DNSの機能は、インターネットの基本的なサービスを提供する意味で重要なサービスであるため、攻撃を受けた場合極めて深刻な影響を及ぼす可能性があります。特定のクライアントやネットワークに対してのみ再帰問い合わせを許可することで、BINDのセキュリティとパフォーマンスを適切に管理できるようにしましょう。

例題作成者

株式会社デージーネット 経営企画室 今村 凌太