BIND 9の改ざんチェックとインストール：実用 BIND 9で作るDNSサーバ（1）（2/3 ページ）

インターネットの基幹技術、DNS。本連載では、BIND 9を使ったDNSサーバの構築／運用方法を解説していく。現場で実際に役立つことを目的に、セキュリティや大規模運用などのテーマを取り上げていく予定だ。（編集局）

[鶴長鎮一，＠IT]

BIND 9の入手とインストール

　BIND 9は設定こそ複雑ですが、インストールは極めて簡単です。

　一昔前に、NIS環境をデフォルトで採用しているOSにBINDを組み込んでいたころを考えると、近年発表されるOSはDNSへの親和性が上がっていると同時に依存度が高くなっていることを実感します。また、ほとんどのLinuxディストリビューションはBINDのバイナリパッケージが用意されているため、ソースからインストールしなくてもrpmなどのコマンドで簡単に組み込むことが可能です。Linuxのインストール時に「デスクトップ」オプションなどが選択されている場合はインストールされませんが、「ネットワークサーバ」などのオプションをチェックしてインストールした場合はすでに組み込まれているでしょう。新規にインストールする前に確認してみましょう。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

　パッケージを新規にインストールする際は、インストールCDのファイルを使用する前に、ディストリビュータが最新のBIND 9パッケージ（注）を用意していないか確認しましょう。

注：Red Hat Linux 8、Turbolinux 8 WorkstationはともにBIND 9.2.1が使用可能です。そのほかのバージョンやディストリビューションについては、配布元のサイトで確認してください。

ソースコードの入手

　古いバージョンのディストリビューションを使用している場合や、BIND 9のパッケージをディストリビュータが提供していない場合は、下記の手順でソースからインストールします（注）。

注：古いBINDがインストールされている場合は、あらかじめ「rpm -e パッケージ名」などとしてアンインストールしておきます。その際、BIND本体だけでなくcaching-nameserverなど関連パッケージも削除します。

　BINDは現在、ISC（Internet Software Consortium）社にメンテナンスされており、最新版は同社のWebサイト（http://www.isc.org/）などで公開されています。ここでは、2002年12月現在の最新版であるBIND 9.2.1を前提に話を進めます。

　まず、BIND 9.2.1を

ftp://ftp.isc.org/isc/bind9/9.2.1/bind-9.2.1.tar.gz

から入手します。

ソースコードの正当性確認

　最近、配布元のファイルが改ざんされるといったことが報告されています。必須の作業ではありませんが、ダウンロードしたファイルの正当性を確認する手順も併せて紹介しましょう。

　正当性を確認するには、PGPユーティリティのインストールとBIND 9.2.1のPGP Signatureファイル、ISCの公開鍵が必要です。

• BIND 9.2.1のPGP Signature
  ftp://ftp.isc.org/isc/bind9/9.2.1/bind-9.2.1.tar.gz.asc
• ISCの公開鍵
  http://www.isc.org/ISC/isckey.txt

　ここでは、PGPユーティリティにGnuPG（http://www.gnupg.org/）を用います。GnuPGはPGP（http://www.pgpi.org/）と同じ機能を提供しながら、PGPが抱えていたライセンス問題や商業利用における煩わしさなどを解消しており、現在も活発に開発が続けられています。GnuPGがインストールされていない場合や最新のパッケージを使用する際は、後述の「Appendix：GnuPGのインストール」を参照してください。

　用意ができたらgpgコマンドを使って公開鍵を組み込み、PGP Signatureを利用してbind-9.2.1.tar.gzファイルの正当性を検証してみましょう。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

　公開鍵が正常に登録されているかどうかを確認し、同時にidを調べておきます。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

　次に、自分の秘密鍵で相手の公開鍵を署名します。署名にはLocalなものとExportableなものがありますが、大抵は責任の範囲が自身で完結するLocal署名を選択します。先ほどのidを引数に、「gpg --lsign-key」を実行します。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

　ここまで終了したら、bind-9.2.1.tar.gz.ascファイルを使ってbind-9.2.1.tar.gzファイルの正当性を検証します。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

　以上でソースファイルの正当性が確認できます（注）。

注：正しくGnuPGをインストールし、公開鍵も組み込んでいるにもかかわらず正当性が確認できない場合は、ISCに連絡しなくてはいけません。その際は、複数の環境で同じ状況が発生することを確認しておきましょう。

　では、BIND 9のインストールを続けます。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

　以上の作業で、/usr/local下にBIND本体とユーティリティがインストールされます。