| # cat /var/log/messages Aug 1 00:00: HOSTNAME named[3264]: /etc/named.conf:9: using specific query-source port suppresses port randomization and can be insecure. # cat /etc/named.conf query-source port 53; |
“(/var/named/chroot/)etc/named.conf”の9行目について、クエリーソースのポートを指定しているけど
ランダムにした方がセキュアですよ~、って意味のログです。
デフォルトでは53番ポート指定の設定になってますが、ファイアーウォール等の都合がある場合を除いて
コメントアウトしておいた方が良いです。
ポート指定のままにしておく危険性は以下のサイトが参考になります。
後編 DNSキャッシュポイズニングの原因・対策・その理由
http://www.atmarkit.co.jp/fsecurity/special/131dnspoisoning2/dnspoisoning01.html
=======================================================
メモ:
listen-on port 53 { 127.0.0.1; };
コメントアウトもしくは記述がない場合は、全インターフェースのport53で問い合わせ待ちします。
上記の設定では”127.0.0.1からのport53への問い合わせのみ対応”ということになります。
なので、/etc/resolv.confに”nameserver 192.168.0.1″だと応答してくれません。
query-source port 53
自分では名前解決できないドメインを他DNSサーバに問い合わせする場合に使用するポート番号です。
コメントアウトもしくは記述がない場合は、ランダムでポートを使用します。
allow-query { any; };
名前解決の問い合わせに応答するネットワークを指定します。
内部向けDNSならローカルネットワークのみ指定します。
=======================================================
先日、bindのアップグレード後にサーバを再起動したら名前解決ができない…。
障害の原因切り分けで、127.0.0.1からの問い合わせには応答するのに、192.168.0.1(サーバのIPアドレス)には応答しない、なんだこれは?
原因は、resolv.confが”nameserver 192.168.0.1″になってるのに
設定ファイルがアップグレードで書き換わって”listen-on port 53 { 127.0.0.1; };”になってたというオチでした。