BIND9

1 TSIG(Transaction Signature)とは？ 2 検証環境 2.1 ネットワーク構成 2.2 版数 3 動作確認 3.1 共有鍵の作成 3.2 プライマリーサーバ 3.3 セカンダリーサーバ 3.4 TSIGレコードの確認 Y 参考図書 Z 参考情報 1 TSIG(Transaction Signature)とは？ TSIGは次のことを保証する仕組みです。 ・DNSメッセージの完全性 ・DNSメッセージ送信元の真正性 これにより、プライマリーサーバとセカンダリーサーバの間でゾーン情報を安全に転送することができます。TSIG はDNS メッセージにTSIGレコードを付加するこ…

1 はじめに 2 検証環境 2.1 ネットワーク構成 2.2 版数 3 インストール方法 4 ポート番号の開放 4.1 プライマリーサーバのポート番号開放 4.2 セカンダリーサーバのポート番号開放 5 プライマリーサーバの設定 5.1 設定ファイルの編集 5.2 ゾーンファイルの作成 6 セカンダリーサーバの設定 6.1 設定ファイルの編集 7 設定ファイル、ゾーンファイルの構文チェック 7.1 プライマリーサーバ 7.2 セカンダリーサーバ 8 セカンダリサーバ起動時のシーケンス 9 セカンダリサーバ起動後のシーケンス 10 ゾーンファイル編集後のシーケンス 11 ゾーンファイルの転送確認…

また、BIND 9の脆弱性情報がタイミングよく出てきたもんだ。ちょうど朝、子供達のために朝ご飯を作り終わってPCを開いたら飛び込んできたニュース。 BIND 9の脆弱性情報(Medium: CVE-2021-25219)と新バージョン(9.11.36, 9.16.22, 9.17.19 ) https://security.sios.com/vulnerability/bind-security-vulnerability-20211028.html

Dockerfileの作成 BINDの設定ファイル 動作確認 DNSサーバとして稼働させる AnsibleでDockerイメージのDeployをする まとめ こんにちは、yamori（yamori-tech）です。 今まで自宅内のDNSサーバをCentOSの仮想マシン上で運用していたのですが、Dockerの練習がてらコンテナでの運用に変えてみました。 DNSサーバに利用するアプリケーションはBINDで、ISCから9.16.xのstable yumレポジトリの公開も行われていたのでバージョンアップとパッケージの移行も併せて行いました。 ISCのBIND9.16レポジトリを利用したい方も参考になる…

LinuCエヴァンジェリスト・Open Source Summit Japanボランティアリーダーの鯨井貴博@opensourcetechです。 1.Kubernetes(k8s)とは Kubernetes(k8s)とは、公式ドキュメントの言葉をかりれば、 「デプロイやスケーリングを自動化したり、コンテナ化されたアプリケーションを管理したりするための、オープンソースのシステム」です。 https://kubernetes.io/ja/ ざっくりいうと、コンテナアプリケーションを動かす土台です。 実は、身近なところでもKubernetesで運用されているシステムがたくさんあります。 なぜABEM…

はじめに 環境構築編 インストール 設定 設定の反映 確認編 digコマンドの実行 終わりに はじめに 株式会社iimonの木暮です。 今回は実際に構築した権威サーバへクエリを送ってレスポンスを確認するところまで行います。 今回の記事は、調べれば類似の記事がたくさん見つかるような内容ですが、「百聞は一見に如かず」という言葉を胸に、自分でしっかり手を動かしながら学んだことをまとめました。 本記事では、実際に調べたことや手を動かして試したプロセスを、順を追って整理しています。また、情報をまとめる際に参考にした素晴らしい記事を執筆された方々には心から感謝いたします。この場を借りて御礼申し上げます。 …

前回までの記事はこちら： Samba AD DC更新作業1：はじめに Samba AD DC更新作業2：Samba更新 Samba AD DC更新作業3：Ubuntu更新 今回の話題は二台目DCの構築について。基本的なシステム構築手順の＋α部分を記述する。Ubuntu 22.04LTSのインストール、言語・標準時・ネットワーク・DNSなどの設定は一般的な話題のため割愛。DC動作として大切なものは時刻同期とファイアウォールのため、それらについてまず述べる。 SambaはKerberos認証を使うが、時刻のずれが5分を超えると認証は失敗する。そのため時刻同期が必須になる。デフォルトでNTPサービス…

前回までの記事はこちら： Samba AD DC更新作業1：はじめに Samba AD DC更新作業2：Samba更新 Sambaが更新できたので、次はOSを上げる。今の状態はこちら。 root@dc1:~# cat /etc/os-release NAME="Ubuntu" VERSION="14.04.6 LTS, Trusty Tahr" ID=ubuntu ID_LIKE=debian PRETTY_NAME="Ubuntu 14.04.6 LTS" VERSION_ID="14.04" HOME_URL="http://www.ubuntu.com/" SUPPORT_URL="ht…

rmdirコマンドはディレクトリを削除するコマンド 削除対象のディレクトリは空である必要があり、また、本コマンドでファイルを削除することはできない ファイルの所有ユーザー（オーナー）や所有グループを設定するコマンドは「chown（change owner）」 chown <ユーザー>[:<グループ>] <ファイル、ディレクトリ> ※「:」の部分は「.」とすることも可能 オーナーだけでなく所有グループも変更する場合は、ユーザー名に続いて「:」または「.」でグループ名も指定 所有グループのみを変更したい場合は「chgrp（change group）」というコマンドを利用することも可能 chownコ…

今回の目的 前回 VirtulBox + Vagrant に作成した Zabbix サーバーと通信する Zabbix プロキシを同じ仮想環境内に作成してみる。 構築する Zabbix プロキシのパラメータ ホストオンリーアダプタを2つ使用したインターフェースの構成を作成する。 Zabbix Proxy - 監視対象ホスト 間で使用 192.168.0.111/24：Zabbix サーバーとの通信用 VirtualBox Host-Only Ethernet Adapter #2 192.168.10.111/24：監視対象ホストとの通信用 VirtualBox Host-Only Ethern…

こんにちは！イーゴリです。 DNSの脆弱性 DNSの通信は非暗号である DNSSECが守ってくれる攻撃パターン (キャッシュポイズニング攻撃) DNSSECとは DNSSEC導入のメリット DNSSEC導入のデメリット Amazon Route 53でDNSSECの有効化 DNSSECの有効化前の状態の確認 DNSSECを有効にする KSKのキーの作成 DSレコードの作成 Route 53 レジストラ 別のドメインレジストラ ZSKとKSKの鍵の責任分担 DNSSECの有効化後の状態の確認 考慮事項 課金 インターネットの初期の設計時には、セキュリティが最優先されていませんでした。1970年代…

技術部ネットワーク課の二之宮です。 はじめに 前々からやってみたかった CVSS の環境評価基準による脆弱性の評価をやってみました。 はじめに CVSS とは 概要 脆弱性を評価する 3つの基準 脆弱性を評価する人 深刻度を表す数値とレベル分け CVSS での評価に必要なもの 今回評価する脆弱性 今回想定する脆弱性の影響を受けるシステム 使用する計算ツール 基本評価基準による評価結果の確認 現状評価基準による評価 現状評価基準の 3つの評価項目 攻撃される可能性: Exploit Code Maturity (E) 評価の選択肢 評価結果 評価の理由 利用可能な対策のレベル: Remediat…

仕事でRedhat Enterprise Linux（※以後,「RHEL」）の環境構築をしていると、足りないライブラリや必要となるコマンドが入っていないときがあります。 そんなときは大体はネットで検索をしていたのですが、dnfのコマンドオプションで足りないライブラリや必要となるコマンドが何のモジュールに含まれているのかを確認できることを知りました！ でもすぐにそのオプションを忘れてしまうので、ここにメモ書きしておきます。 dnf whatprovides ファイル名 例えば、RHELの初期状態で「nslookup」コマンドが入っていなかったわ～ってなったときは、以下のように実行することで 「n…