オープンリゾルバ＠友人鯖

まずは言い訳を。

先々日に公開鍵認証認証必須・書きながら
先日はパスワード認証でやってます。。。て書いてます。

ShellInABoxはパスワード認証ですが、rootログインが
出来ないようになっています。
加えて特定のユーザーしかrootになれないような
設定をしてください。
そのユーザー名やパスワードは難しいものにしてください。
ポートは4200から必ず変更してください。

上記の設定でなんとかクラックを防ぐことができると
判断したのですが、どのユーザーでもrootになれたり
パスワードが簡単ならNGです。

では言い訳が終わったところで本題です。

友人のサーバーがオープンリゾルバだと
警告を受けたということです。

あれ？友人はサーバー初心者（現在は脱却直前？）で、
DNSサーバーを立てるのはまだお勉強が足りないので、
プライマリ・セカンダリ共に拙宅サーバーで名前解決
できるように引き受けていたはず。。
友人サーバーもセカンダリDNSを置いてあるけど、
拙生が設定してあげたのでそんなわけネェなあ・・・
などと思いつつも。。。
ドジったか！？と心中穏やかではありませんでした。

真相

お勉強熱心な友人はビギナー脱却を試み、自力で
DNSサーバーを構築できるようにいろいろ考えたのは
よいのですが、いくつか失敗をしてしまったようです。

拙生にナンの相談もなく友人が考えたのは
・お勉強のために設定ファイルを全て自力で書き直す。
・出来上がったら友人鯖をプライマリDNS（master）とする。
・友人鯖は1台しか無いのでサブドメインを作成し
　セカンダリ（slave）とする。（1台でやる方法は教えたことあり。）
・成功したらレジストラへの登録を切り替えて、
　拙宅サーバーももう1台のslaveとさせる。
　

で、自力設定が一応成功したようなので、元々の設定ファイルを
バックアップしてから、レジストラに登録してあるDNSサーバーを
友人鯖に切り替えてしばらく運用し、そろそろ拙宅側をslaveに
切り替え依頼を発動しようとしていたら、オープンリゾルバの
警告があったということです。
とりあえずはバックアップファイルを元に戻したとのこと。

拙生：何を参考に設定した？
友人：本屋で買ってきたサーバー教本
拙生：⇒　 ココ　見た？
友人：見てねぇ。。。なんだこりゃ？
拙生：勉強不足だな！（笑
友人：うるせぇ！（笑

てなやりとりがありましたが、ドメインは自ドメ一つしか
管理していないので、もっと簡単な方法をお教えしておきました。

簡単設定

ようは管理外のドメインは自分自身（サーバー）とローカル内からの
問い合わせ以外を拒否し、自分の管理しているドメインのみ再帰的な
問い合わせを不特定なIPアドレスにも許可しておけば良いわけです。

で、named.confのoptionsに

　　　　allow-query{
　　　　　　　　localhost;
　　　　　　　　192.168.■.0/24;
　　　　　　　　192.168.□.0/24;　←＊
　　　　};

　＊　通常は1つだけですが、拙宅環境のように
　　　ローカルなネットワークが複数サーバーに
　　　接続されている場合は列記しておきます。
　　　
として外部からの問い合わせは受け付けないようにします。
で、管理ドメインのZoneファイルを指定するところを

プライマリは

　　　　zone “○○.com” {
　　　　type master;
　　　　allow-query{any;};
　　　　file “□□/○○.com.zone”;
　　　　};

セカンダリは

　　　　zone “○○.com” {
　　　　type slave;
　　　　masters { xxx.xxx.xxx.xxx };
　　　　allow-query{any;};
　　　　file “□□/○○.com.zone”;
　　　　};

のようにして全てに許可するばよいのです。

友人：なんだ、簡単じゃん♪
拙生：その簡単なこと出来なかったのは誰じゃ？
友人：うるせぇ！バ〜カ。。（笑

ま、拙生も設定し忘れで一度警告を頂戴しているので
他人様に言える立場じゃないですけどね。。。

端から見てると喧嘩でも始まるんじゃ？と心配するような
やりとりなのだそうですが、実はすごく気の合う友人なんです。ｗｗｗ

HOME