再帰問い合わせ
ホストの制限
- 接続許可するIPを記述(問い合わせの制限ではなく、再帰的問い合わせの制限)
allow-recursion(optionsステートメントでのみ定義有効)
named.conf
options{
allow-recursion { localhost; localnets; ***.***.***.***/16; ***.***.***.***; };
};
- ACLで管理
ホストを増減させる際、ACLだけの編集で済む。
named.conf
acl "hosts" { localhost; localnets; ***.***.***.***/16; ***.***.***.***; };
options{
allow-recursion { hosts; };
};
- 再帰問い合わせ禁止
recursion
named.conf
options{
recursion { none; };
};
問い合わせ禁止
- 問い合わせ可能なホストを制限
options,zoneステートメントそれぞれに定義が可能
allow-query
named.conf
options{
allow-query { ***.***.***.***; ACL; };
};
- 任意のホストからの接続拒否
blackhole
named.conf
options{
blackhole { ***.***.***.***; ACL; };
};
ゾーン転送
allow-transfer
全ゾーン情報を公開するのはリスクが大きいので、スレーブサーバ等に限定的にするのが効果的かも。
options,zoneステートメントそれぞれに定義が可能
allow-transfer { ***.***.***.***; ACL; };
DNSラウンドロビン
複数台のWebサーバにデータを割り振って、負荷分散を実現する。
負荷分散であって、冗長構成ではない。
/var/named/****.zone
example.com. 1M IN A ***.***.***.1
example.com. 1M IN A ***.***.***.2
example.com. 1M IN A ***.***.***.3
example.com. 1M IN A ***.***.***.4
example.com. 1M IN A ***.***.***.5
バージョンを隠す
あえて公開する必要のない情報の為、隠す。
# dig @127.0.0.1 chaos version.bind txt
;; ANSWER SECTION:
version.bind. 0 CH TXT "9.8.2rc1-RedHat-9.8.2-0.30.rc1.38.amzn1"
named.conf
options{
version "\(^o^)/";
};
# dig @127.0.0.1 chaos version.bind txt
;; ANSWER SECTION:
version.bind. 0 CH TXT "\\(^o^)/"