bind のポリシー変更

update は便利な面もあるんだけど、必要ではないのと、ゾーン DB が汚れて行く1のがいやなので

bind のエラーをさらに低減

のときの方法とは反対に、禁止することにした。(デフォルトは禁止)

しかしそうすると update に失敗したという情報が error としてログに残る。これはうざいということで今度はこういう方法で対処。

category update {
        update;
};
category update-security {
        update;
};
channel update {
        null;
};

これで FreeBSD の 9.3 では log が残らなくなった。しかし Debian の 9.2 ではこれでは不十分で、

category security {
        null に捨てる channel 名;
}

にしておかないといけない。これだと update 以外の接続拒否のログも一緒に吸い込まれてしまうので面白くないんだけど、これも今回は local で update 以外は全部許可しているので問題なしとした。

なんかどーも Debian Sarge の bind の動きは納得いかないなぁ。

  1. ちなみに、ゾーン DB が汚れていかないように固定 IP のホストを別ファイルに記述しておいてゾーン DB から include する方法も試したみたけど、update が掛かった段階で一緒くたになってしまうのであった。それでも固定 IP の元ファイルは維持されるので、これで十分なら update を許可しておくのも悪くないと思う。bind はいろんなところに穴が開くので、できるだけ余計なことはさせたくないという判断をする人が多そうだけど。 

More