- - PR -
ゾーン転送について
1
| 投稿者 | 投稿内容 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2005-09-13 13:56
ゾーン転送に関するセキュリティ対策についてなんですが、通常マスターサーバ側であらかじめ指定したスレーブサーバ以外からは、ゾーン転送を受付ないようにする。というのは基本だと思いますが、スレーブサーバ(セカンダリ)についても、ゾーン転送の設定(allow transfer)でマスターサーバのIPアドレスを記述することはあるでしょうか?というのは、スレーブサーバへ外部からDigコマンドなどで、ゾーン転送が可能という状況に現在あります。しかし、どの設定情報などを見てもスレーブサーバへ"allow transfer"の設定については記述されていません。それとも基本的に間違っていますでしょうか?
| ||||||||
|
投稿日時: 2005-09-13 15:48
これ?
http://www.atmarkit.co.jp/flinux/rensai/bind905/bind905c.html | ||||||||
|
投稿日時: 2005-09-13 16:36
コブラさん返答ありがとうございます。
ご提示いただいたサイトは確認しておりました。が、この設定ですと、外部からスレーブサーバへDIGコマンドを実行するとゾーンファイルが閲覧できてしまいます。これだとせっかくマスターサーバでスレーブのみ転送可能に規制しても意味がないように感じます。 実際下記のコマンドで外部から閲覧可能でした。 $ dig @スレーブ・サーバ example.jp axfr ;; XFR size: 20 records ←成功 | ||||||||
|
投稿日時: 2005-09-13 17:28
ここの例では、スレーブの named.conf でも allow-query, allow-transfer やってまんな。。。
http://blog2.myu-k.co.jp/monar/archives/000053.html | ||||||||
|
投稿日時: 2005-09-13 17:31
こんにちは。
基本かどうかはそのDNSを管理する側のポリシーによるので何とも言えない気がします。 もちろん個人的には制限かけるのを推奨したい気持ちはありますが。よって
これもまた然りです。 boochanさんがDNSサーバを管理してて、スレーブサーバから他サーバへの転送を 拒否したいのであればそのように設定しても問題ないと思います。 スレーブサーバはたぶん何処にも転送する必要は無いでしょうから、例えばbindなら allow-transfer { none; }; とでも書いておけば良いと思います。 [ メッセージ編集済み 編集者: 綾瀬 編集日時 2005-09-13 17:34 ] | ||||||||
|
投稿日時: 2005-09-13 17:47
コブラさん
綾瀬さん 返答ありがとうございます。 そのとおりですね。設定例などが見つけられなかったということもあってか、不安な部分を第三者に同意を求めたいというのが本音だったような気がします。 スレーブサーバについては、他へ転送する必要がないので、「none」とします。ありがとうございました。 | ||||||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。