2008年7月30日水曜日

BIND 9.4 の問い合わせの制限について

BIND 9.4.2 をいじってて,気になったことについてのメモ.

その気になったことというのは,allow-query サブステートメントなどを設定していない状態にもかかわらず,localnets; localhost; からの問い合わせにしか応答しないということについてだ.allow-query サブステートメントを設定していなければ,デフォルト値は any; になるので,どこからの問い合わせでも応答するはずなのだ.

うだうだと調べていたら,BIND 9.4 から allow-query-cache サブステートメントというものが追加され,それに伴って allow-recursion のデフォルト値が変更されたからということがわかった.いままでは,allow-recursion のデフォルト値は any; であったが,9.4 からはデフォルト値が複雑になったのだ.表にまとめてみたので,参考にしてほしい.(表のハイフンは設定なし.A,B は設定値としている.)



まあ,デフォルトの状態でもセキュアになったと考えると,いいかなぁってかんじになる.BIND の設定について理解してないことがいろいろあるので,これからも勉強しないとね.

参考文献:
Linux Square: BIND(Windows版)の"allow-query"の挙動について
BIND 9.4 Administrator Reference Manual

0 件のコメント: