DNS(named)のゾーン設定ファイル内には(例:/var/named/hogehoge.zone),ネットワーク内のサーバ構成を表すIPアドレスなどが列記されている。関係のないドメインからゾーンファイルを参照され,悪意あるユーザーの手に渡ってしまう事態はできる限り避けたい。
そこで,防御策として講じられるのが必要最低限のサーバからのみゾーン参照ができるようにする方法だ。次のように「allow-transfer」で設定しておけば,自らが管理するサーバのみに限定させることができる。
options { directory "/var/named"; allow-transfer { 172.16.0.1; }; }; ※この例では,172.16.0.1のサーバだけに転送を許可している。 |
また,セカンダリDNSのようにゾーン転送を許可する必要のない場合には,次のように「none」と指定しておけばよい。
allow-transfer { none; }; |
Copyright © ITmedia, Inc. All Rights Reserved.