BINDの複数の脆弱性対策 (CVE-2017-3136他)

先日明らかにされたセキュリティアラート: CVE-2017-3136/3137/3138
ISC BIND に複数のサービス運用妨害 (DoS) の脆弱性

対策実施について

原文はこちら
CVE-2017-3136(英文)
https://kb.isc.org/article/AA-01465
CVE-2017-3137(英文)
https://kb.isc.org/article/AA-01466
CVE-2017-3138(英文)
https://kb.isc.org/article/AA-01471

JVNVU#97322649
ISC BIND に複数のサービス運用妨害 (DoS) の脆弱性
http://jvn.jp/vu/JVNVU97322649/index.html

本件の問題点と対策は以下の通りです。

続きを読む

BINDのDNAME脆弱性対策 (CVE-2016-8864)

先日明らかにされたセキュリティアラート: CVE-2016-8864
BIND の DNAME レコードを含む応答パケットの処理の脆弱性に関する対策実施について

原文はこちら
CVE-2016-8864(英文)
https://kb.isc.org/article/AA-01434

JVNVU#92683474
BIND の DNAME レコードを含む応答パケットの処理に脆弱性
http://jvn.jp/vu/JVNVU92683474/index.html

本件の問題点と対策は以下の通りです。

続きを読む

DNSラウンドロビンで負荷分散

複数のサーバーに同じコンテンツを置いて、DNSラウンドロビンで負荷分散する方法について書きます。

複数のサーバーに同じコンテンツを置くには、それぞれのサーバーにFTPでアップロードするか、なんらかの方法で同期させます。
lsyncd + rsyncd を使って自動同期させる方法もあります。別の投稿で書いていますので参考にしてください。

■ DNSラウンドロビン

DNSラウンドロビンとは、非常に単純な方法です。

設定としては、DNSサーバーあるいはレンタルDNSのゾーン設定において、1つのホスト名のゾーンタイプ A (IPアドレスの指定)を複数行設定し、1つのホスト名に複数のIPアドレスを割り付けます。

これだけです。

例)

domain.com.zone


...
...

www 	IN	A	111.111.111.111
www 	IN	A	111.111.111.222
www 	IN	A	111.111.111.333

A を複数設定しておくと、DNS正引きに対して設定されたIPアドレスのいずれかが返されます。

この例で、http://www.domain.com へのアクセスは、ときに 111.111.111.111、またときには 111.111.111.222 または 111.111.111.333 のサーバーへのアクセスになります。
完全にではありませんが、まあまあ、おおよそ均等にアクセスされると期待できますので負荷分散になります。

続きを読む

BIND9.7設定方法の変更点

CentOS5(RHEL5)系の BIND 9.3 と CentOS6(RHEL6)系の BIND 9.7 以上ではインストールファイル構成、動作する時のディレクトリ構成から chroot の動作の仕様が全然違います。

今まで BIND 9.3 に慣れていて、同じつもりで初期設定しようとしたら戸惑います。
CentOS6系の初期状態から運用していて yum update であるとき変わってしまって動かなくなったらしばし呆然とするでしょう。
ここに違いをメモしておきます。

■ BIND 9.3.x

(1) インストール

# yum install bind bind-chroot
# yum install caching-nameserver

(2) ファイル構成の確認

こうなっています。

/etc/named.conf  <<< /var/named/chroot/etc/ からシンボリックリンク
/etc/named.caching-nameserver.conf  <<< /var/named/chroot/etc/ からシンボリックリンク
/etc/named.rfc1912.zones  <<< /var/named/chroot/etc/ からシンボリックリンク
/var/named/named.ca  <<< /var/named/chroot/var/named/ からシンボリックリンク
/var/named/xxxxxxxxx.zone  <<< /var/named/chroot/var/named/ からシンボリックリンク
/var/named/chroot/etc/named.conf (新規作成、/etc/named.conf へシンボリックリンク)
/var/named/chroot/etc/named.caching-nameserver.conf  >>> /etc/ へシンボリックリンク
/var/named/chroot/etc/named.rfc1912.zones  >>> /etc/ へシンボリックリンク
/var/named/chroot/var/named/named.ca  >>> /var/named/ へシンボリックリンク
/var/named/chroot/var/named/xxxxxxxxx.zone  >>> /var/named/ へシンボリックリンク

※BIND 9.7 はシンボリックリンクではなく、モジュール起動時にマウントする仕様に変わっています。
続きを読む