• サポートしてない機能
▫ RFC 2136 (Dynamic update)
39
NSDの特徴
•
リゾルバ機能無し▫
ヒントファイルを持たない。▫
権威を持たないゾーンへのクエリーに対して SERVFAILを返す。
ヒントを持たないし、検索索もしないのでreferralを返しようがない。
▫
NOTIFYの通知先やアクセス制御にゾーンの SOA MNAMEやNSを参照しない。40
NSDの特徴
•
静的なメモリデータベースを利利⽤用▫
ゾーンファイルをコンパイルしてデータベー スファイルを作成▫
NSDのプロセスが起動時にデータベースをメ モリに読み込む41
NSDの特徴
•
設定ファイルがシンプル▫
カスタマイズできる項⽬目が少ない。▫
設定ファイル /etc/nsd/nsd.conf
▫
形式
属性名: 値42
設定例例(マスター)
server:
ip-address: 192.0.2.1 zone:
name: example.jp.
zonefile: example.jp.zone notify: 192.0.2.2 NOKEY
provide-xfr: 192.0.2.2 NOKEY
43
NOTIFYによる通知先。
スレーブのIPアドレスを明⽰示的に指定。
ゾーン転送要求に対するアクセス制御。
デフォルト拒否。
スレーブのIPアドレスを明⽰示的に指定。
設定例例(スレーブ)
server:
ip-address: 192.0.2.2 zone:
name: example.jp.
zonefile: example.jp.zone
allow-notify: 192.0.2.1 NOKEY
request-xfr: AXFR 192.0.2.1 NOKEY
44
NOTIFYの受信のアクセス制御。
マスターのIPアドレスを明⽰示的に指定。
ゾーン転送の要求先。
マスターのIPアドレスを明⽰示的に指定。
マスターがNSDの場合はAXFRを指定。
IXFRに対応していないため。
NSD脆弱性情報
•
NSD 3.2.13以降降は脆弱性はみつかっていない。•
2006年年5⽉月(NSD 3.0.0リリース)〜~現在(2014年年2⽉月)
▫
2012年年7⽉月 CVE-‐‑‒2012-‐‑‒2979▫
2012年年7⽉月 CVE-‐‑‒2012-‐‑‒2978▫
2009年年5⽉月 CVE-‐‑‒2009-‐‑‒175545
NSD4リリース
•
2013年年10⽉月29⽇日にNSD 4.0.0がリリースされ た。•
⼤大規模向けの機能の強化▫
nsd-‐‑‒controlによる制御▫
再起動無しに設定やゾーンの更更新が可能▫
パターン機能で動的にゾーンの追加・削除▫
⾼高負荷への耐性強化46
NSD3の課題・問題点
•
設定ファイルのリロード(再読み込み)ができ ない。再起動が必要。▫
設定ファイルの変更更後には再起動が必要であ▫
る。再起動(プロセスの停⽌止と起動)するとサー ビスとしては瞬断が発⽣生する。▫
ゾーンの追加や削除も設定ファイルの変更更で あるため、再起動が必要になる。•
ゾーンファイルの更更新後にはリロード(プロセ スの起動し直し)が必要。47
NSD4のプログラム
プログラム 説明
nsd デーモン
nsd-‐‑‒checkconf nsd.confをチェックするプログラム
nsd-‐‑‒control デーモンを制御するプログラム
nsd-‐‑‒control-‐‑‒setup
nsd-‐‑‒control⽤用のプライベート鍵と公開鍵証明書を 作成するスクリプトnsd-‐‑‒mem
メモリ・ディスク使⽤用量量⾒見見積もりツール48
NSD3のnsdc, zonec, nsd-‐‑‒notify, nsd-‐‑‒patch, nsd-‐‑‒xferコマンドの廃⽌止
参考: Unboundの場合 unbound
unbound-‐‑‒checkconf unbound-‐‑‒control
unbound-‐‑‒control-‐‑‒setup
アーキテクチャ
2014-‐‑‒07-‐‑‒05 夏のDNS祭り2014
49
nsd (main)
nsd (child) nsd (child)
nsd (xfrd)
(nsd-‐‑‒controlからの)制御、ゾーン転送の管理理
クエリーの処理理
⼦子プロセスの 管理理
nsd.db UDB
xfrd.
state
セカンダリゾーンの refreshとexpireの
時間管理理
ゾーン
ドキュメント内
夏の DNS 祭り Unbound/NSD ハンズオン 株式会社ハートビーツ滝澤隆史
(ページ 39-49)