djbdns

 その筋の方ならご存じでしょうが、少し前(2002.11.22現在)にBINDの脆弱性が発見されたのに対し、その対応があまりよくなかったのが問題視 されてるようです。ウチの会社のBINDは9だったので今回の脆弱性にはとりあえず無縁だったのだけど、別にコレに限らずBINDはセキュリティホールが次々出てきてキリない上に、 今回みたいな対応とられるとやってられなくなるので、ここらでパツイチDNSを変えてやろうかいのう、などと思い始めてしまいました。

 そーなると最初に候補に挙がってしまうのが、qmailの作者が作った「堅牢性なら敵なし」と言われる「djbdns」。 あの作者も(ツールこみ)あちこちで賛否両論出てはいるのだけど、まあ、私的にはスタンスがはっきりしてて 悪くないと思っております。

 で、早速昨日実験機で動かしてみました。最初rpmのをインストールしようと思ったのだけれど、ほとんどバージョンアップがされないツールだから別にソースコンパイルでもいいかなあ、と思い直してコンパイル。さほど問題なくインストールは進んだのだが、いざ実験段階に入ったところで一つ問題が。qmailと同じく、djbdnsでもツールは役割毎に分離されており(つっても大本は自ドメイン問い合わせ応答用の tinydnsと、外部再帰検索用dnscacheだけだが)そのコトが応答の高速性と堅牢性を維持しておりつつも、 BINDとかsendmailに慣れてるヒトにはややっこしいのは分かっているのだが、さすがにtinydnsとdnscacheを別のIPで動かす必要があるとまでは考えなかった(苦笑)。まあ確かに問い合わせにせよ再帰検索にせよ、問い合わせはポート53のUDPに来るからソレを区別するにはIPを変えるのが一番てっとり早いのはわかるんだけど、外部公開用であり且つ自社の再帰検索用であり、しかも地方弱小ではあるもののIPSも運営している都合上、会員用のDNSでもあるウチの会社のDNSはそう簡単に2つに分けるワケにはいかないんだよなあ・・・。 会員にDNS変えてくれ(注:自動取得をやってないヒトもいるのだ)、というのと上位プロバイダに DNS変えてくれ(注:それ以外にもZONEフォワーダでウチのDNS見に来てる所もあるのでそこも)、って言うのがどっちも面倒でヤなのだ(苦笑)。

 まあ、セキュリティ的なコトを考えれば2台に分離するのはそう悪い話ではない。ソレを1台でやろうとした場合の手段を考えると、とりあえず公開DNSにグローバルを一つ割り振って、ソレとは別に内部っぽいアドレスを2つもたせる。で、それぞれ内アドレスでtinydnsとdnscacheを稼働させ、外から(ルータから)の問い合わせは自ドメイン問い合わせのみと仮定してtinydns用のIPに、自社内及びISP会員用アドレスだったらdnscacheのIPに流すようiptableでも設定すれば 比較的安易に、且つグローバルIPをムダにせず稼働させることができる・・・だろうか?(苦笑)

 なんか強引な気がしてヤだなあ(苦笑)。もっとブリリアントな手段はないものでしょうか? ご存知の方いらっしゃっいません?

関連タグ:djbdns
2002-11-22 [技術・作業]