1. DNS入門/運用編
DNS入門者が運用に手を出してはいけない。
ということで、入門者向けに運用の解説が必要だとは思っていなかった。
しかし、まともな「運用指針」が見当たらないので、作る必要があると思い直した。
運用の経験なくしては、DNSを理解したとは言えないからだ。-- ToshinoriMaeno 2018-06-14 06:02:48
https://www.e-ontap.com/dns/onsen8/#(36\) /脆弱性
このページにはDNS上級者がDNS運用で気をつけるべきことを並べるつもり。w
- 多くはDJBから学んだもの。
前提条件として、DNSSECは使わない。いろいろ面倒だし、正しく動作するか、しらないから。
-- ToshinoriMaeno 2017-06-12 02:16:54
/ドメイン名の管理、/ゾーンサーバーの管理、/リゾルバーの管理に分ける。-- ToshinoriMaeno 2018-06-22 21:07:13
1.1. 参考
初心者のためのDNS運用入門 2015年1月14日 久保田秀 https://twitter.com/beyondDNS/status/870919643468189697
DNSの運用と言った場合、DNSサーバーの運用だけではなく、ドメインの運用もあります。 DNSレコードの設定です。 (こっちも面倒でしょう。おそらく)
https://www.janog.gr.jp/meeting/janog35/download_file/view/83/175/index.pdf
自前で運用したくないなら、ドメインを登録するにはどこかの共用DNSサービスを使う必要がある。
- 運用初心者はRoute53とかの独自仕様のサービスは避けるのがよい。
(独自の日本語訳に悩むことになるだろう) 安全だとは言わないが、さくらあたりを使ってみたらどうか。
外部DNSサービスを使っても、ドメインの(上位)登録情報やゾーンの管理は理解しておく必要がある。
- 資源レコードをどう設定するかの課題から逃れることはできない。
1.2. 運用の基礎(1)
ゾーンサーバとリゾルバーの分離
- DJBはcontents serverとcache serverを分けよと言っています。
- 事実上BIND8しか存在していなかったときにこう言い切っている。
1.3. リゾルバーの選択
IPv6を使わないのであれば、dnscacheを動かしてみることを勧める。
- リゾルバーの動作を学ぶのにちょうどよいから。
- ただし、いくつかの毒盛脆弱性がある。(port randomizationは公表時の2000年に実装ずみ)
1.4. ゾーンサーバの選択
こっちもまずはtinydnsを勧める。
- ゾーンの構造を把握しやすい。
ゾーン内の資源レコードをどう設定すれば、ゾーンサーバーが リゾルバーにどういう返事をするか、その部分の理解は欠かせない。 (でも、ほとんどの人は理解していない。😱
-- ToshinoriMaeno 2017-06-12 02:49:16
リゾルバーが得た返事から、ゾーン内の資源レコードがどう設定されているか、 推測することができるひとがどれくらいいるのだろう。
-- ToshinoriMaeno 2017-06-12 05:34:12