#osc18tk 「キャッシュDNSサーバーとしてBINDのみを利用している現場でUnboundを使い始めるまで」まとめ
-
- いいね!12
Yoshikazu GOTO
@goto_ipv6
ナツヨさん:DCでスカートがめくり上がったという絵を Twitter で描きました。 #osc18tk #unbound
2018-02-24 13:09:20
Yoshikazu GOTO
@goto_ipv6
ナツヨさん:BIND9からの卒業を決意するまで: ・どうして、こんなに脆弱性が多いものを使うの?と思っていました →年に 5、6回出たことが オレンジさん:去年は、11回それから 6ヶ月以上無い ナツヨさん: ・脆弱性が多すぎて、上司に対応しました、と報告したら、次のが出たよと #osc18tk #unbound
2018-02-24 13:10:37
Yoshikazu GOTO
@goto_ipv6
ナツヨさん: ・BINDコロリってのも →サービス可用性低下のリスク ・DNS Summer Days というイベントを知り、そこへ参加 →出張で #osc18tk #unbound
2018-02-24 13:11:08
Yoshikazu GOTO
@goto_ipv6
ナツヨさん:DNS Summer Days 2016: ・プログラムは公開されています #osc18tk #unbound
2018-02-24 13:11:26
Yoshikazu GOTO
@goto_ipv6
ナツヨさん:BINDに拘る必要はないのでは、という感想を持って会社に戻りました #osc18tk #unbound
2018-02-24 13:11:41
Yoshikazu GOTO
@goto_ipv6
ナツヨさん:どうやってUnboudに?: ・まず、キャッシュDNSサーバーが 3つ、冗長構成 ・権威サーバーは、外部に公開されており 2台 →Primary, Secondary #osc18tk #unbound
2018-02-24 13:12:23
Yoshikazu GOTO
@goto_ipv6
ナツヨさん:キャッシュDNSサーバー: ・オープンリゾルバ対策としてアクセス制限 →View機能は使っていない →児童ポルノブロッキングをここで #osc18tk #unbound
2018-02-24 13:12:58
Yoshikazu GOTO
@goto_ipv6
ナツヨさん:児童ポルノブロッキング: ・プロバイダが割りとやっている ・児童ポルノをやっているドメイン名のリスト →キャッシュサーバーに食わせると、ドメイン名でブロック →→本来のAレコードと異なるレコードを返して、「児童ポルノですよ」と。 #osc18tk #unbound
2018-02-24 13:13:52
Yoshikazu GOTO
@goto_ipv6
ナツヨさん:当時の現場担当者のレベル: ・DNSサーバーを構築するなら、Linuxなら BIND一択 →他を調べる人はいたが、導入までには至らず ・Linux系で BIND以外をいれる場合は、教育コストが #osc18tk #unbound
2018-02-24 13:14:43
tnir / Takuya Noguchi #SnykCon
@tn961ir
#unbound といえばいつになったら #subversion 以外のコードレポジトリに移行するのか状況把握している人がいたら教えてほしい #osc18tk
2018-02-24 13:15:03
Yoshikazu GOTO
@goto_ipv6
ナツヨさん:どのサーバーから?: ・キャッシュ?権威? ・権威サーバーは、ぱっと考えて、面倒くさいと →レコード更新の手順書が、BINDに沿ったものに →→手順書を変える工数 ・キャッシュ →手順書変更がそれほどでもない →3台のうち、1台だけでも、と →マルチベンダーへ #osc18tk #unbound
2018-02-24 13:15:45
Yoshikazu GOTO
@goto_ipv6
ナツヨさん:キャッシュサーバをどのソフトに?: ・候補に上がったのは →PowerDNS Recursor →Unbound →djbdns ・上 2つは DNS Summer Days で紹介されていた ・djbdns はググったら出てきた →しかし、Debianなどでパッケージが無く、私の力量では動かせなかった #osc18tk #unbound
2018-02-24 13:16:49
Yoshikazu GOTO
@goto_ipv6
ナツヨさん:Unboudの決めて: ・日本語情報が充実 →日本Unboudユーザー会のサイトがすごく参考に →→滝澤さん、ありがとうございます ・他にもたくさんの資料が → @hdais さん → @smbd さん #osc18tk #unbound
2018-02-24 13:17:44
Yoshikazu GOTO
@goto_ipv6
ナツヨさん:どうやって運用を定着?: ・BINDを使い続けることのデメリット ・Unboudが怖くないこと これらを現場の人にわかってもらおうとした #osc18tk #unbound
2018-02-24 13:18:53
Yoshikazu GOTO
@goto_ipv6
ナツヨさん: ・DNS Summer Days の資料を、私の机の上に →みんながよく通る場所に机があったので #osc18tk #unbound
2018-02-24 13:19:16
Yoshikazu GOTO
@goto_ipv6
ナツヨさん: ・Unboud が怖くないことをわかってもらうために →IIJさんが使っているよ、と →現場で使っている機能を、Unbound でも使えるよ、と →named-checkconf は unbound-checkconf があるよ →児童ポルノブロッキングも、スクリプトの変更で対応し、人間系への負担を減らす #osc18tk #unbound
2018-02-24 13:20:32
Yoshikazu GOTO
@goto_ipv6
ナツヨさん:現場での反応: ・先輩が、すごいいい意味で厳しくレビューしてくださった →このお陰で上司も納得 ・上司も、マルチベンダー方式への理解と協力があった 良い先輩と上司に恵まれました #osc18tk #unbound
2018-02-24 13:21:24
Yoshikazu GOTO
@goto_ipv6
ナツヨさん:今後: ・今のところ、問題ない ・今後は、マルチベンダー構成を続けていきたい →今後の動静を見て、BINDから完全に卒業も →権威も、NSDやPowerDNSを、と #osc18tk #unbound
2018-02-24 13:22:09
Yoshikazu GOTO
@goto_ipv6
会場から:検証環境は、中で作ってやっていました? ナツヨさん:はい。Unbound が動くことを見せたというのがありました。 #osc18tk #unbound
2018-02-24 13:24:02
Yoshikazu GOTO
@goto_ipv6
会場から:問題なく動いていることですが、ユーザーさんから違いがない?運用側も? ナツヨさん:運用側は、ちょっとありました。unbound.conf が、BIND とは違うので、それをわかって貰う必要が。 #osc18tk #unbound
2018-02-24 13:25:19