LinuCレベル2 Version 4.5 202試験の例題と解説
2.08.3セキュアなDNSサーバーの実現
202試験の試験範囲から「207.3 DNSサーバを保護する」についての例題を解いてみます。
このテーマは重要度2なので、DNS(BIND)をセキュアに稼働させるためのパラメータや機能についてしっかり把握しておきましょう。
■トピックの概要
このトピックの内容は以下の通りです。
<207.3 DNSサーバを保護する>
重要度 2
<説明>
DNSサーバをroot以外のユーザとしてchroot jail環境で実行するよう設定する。これには、DNSサーバ間で安全なデータ交換を行うことも含まれる。
<主要な知識範囲>
・BIND 9の設定ファイル
・chroot jail環境で稼働するようBINDを設定する
・forwarders文を使用してBINDの構成を分割する
・TSIG(Transaction Signature)の設定と利用
・DNSSEC および基本的なツールについて知っている
・DANE および関連レコードについて知っている
<重要なファイル、用語、ユーティリティ>
・ /etc/named.conf
・/etc/passwd
・DNSSEC
・dnssec-keygen
・dnssec-signzone
■例題
以下のうち、電子署名の仕組みを用いて、DNSクライアントがDNSサーバから送られてくるDNS情報が改竄されていないことを検証するものはどれか。
1.chroot jail
2.TSIG
3.DNSSEC
4.DANE
※この例題は実際の試験問題とは異なります。
解答と解説
答えは「3.DNSSEC」 です。
DNSSECとは、DNS Security Extensionsの略となります。
DNSSECでは、DNSサーバにおいてDNSゾーン情報をKSK(鍵署名鍵)/ZSK(ゾーン署名鍵)という2つの鍵で署名します。
レコード情報を受け取ったDNSクライアントでは、公開鍵を用いてそれを検証することでサーバからの応答が改竄されていないことを確認します。
また、利用にはサーバ・クライアントともDNSSECに対応している必要があります。
通常のDNS通信に比べると複雑な仕組みとなりますが、鍵(KSK/ZSK)の作成方法・種類/役割など把握しておきましょう。
なお、正解以外の選択肢については、以下となります。
-------
chroot jail:攻撃などでnamed権限を取得されたことを前提に最小の権限でnamedを起動する仕組み
TSIG:冗長構成のDNSサーバ間におけるゾーン転送をセキュアに行う仕組み
DANE:DNSを用いて通信相手の認証を行うための仕組み
■例題解説提供者
鯨井 貴博 氏(LinuCエヴァンジェリスト/登録インストラクター、LPI-Japanアカデミック認定校 Zeus IT Camp)