NSDをCentOS8にインストールして権威（コンテンツ）DNSサーバのプライマリー、セカンダリーサーバの構築

概要

DNSサーバーは最も有名なソフトとしてBINDがありますが、数々の脆弱性が発覚して運用するにはコストが高い製品でした。
NSDはオランダ製の権威（コンテンツ）DNSソフトになります。BINDとは異なり、キャッシュ機能はなく、権威を持たないゾーンへの問い合わせには応答しません。キャッシュソフトとしてはNSDのソフトを開発した会社がUnbountというソフトを開発しています。
今回はNSDをCentOS8にインストールして、権威（コンテンツ）サーバのプライマリーおよびセカンダリーを作成します。

インストール環境

• CentOS 8.2

今回は下記IPアドレスで設定します。

NSDのインストール

1. EPELのリポジトリを追加
   
   Shell

   dnf -y install epel-release

   1	dnf -y install epel-release

2. NSDのインストール
   
   Shell

   dnf -y install nsd

   1	dnf -y install nsd

3. firewallにてDNSサービスの許可
   Shell

   [root@cent8-nsd01 zones]# firewall-cmd --add-service=dns --zone=public --per success [root@cent8-nsd01 zones]# firewall-cmd --reload success [root@cent8-nsd01 zones]#

   1 2 3 4 5

   [root@cent8-nsd01 zones]# firewall-cmd --add-service=dns --zone=public --per success [root@cent8-nsd01 zones]# firewall-cmd --reload success [root@cent8-nsd01 zones]#

プライマリーサーバの設定

1. ZONEファイルのディレクトリ
   
   Shell

   mkdir /etc/nsd/zones

   1	mkdir /etc/nsd/zones

2. /etc/nsd/nsd.conf の設定

   正引きとして test.server-network-note.net　のゾーンファイルを指定
   逆引きとして 172.22.100.X のゾーンファイルを指定

   プライマリーサーバのIPが172.22.100.1 セカンダリーサーバのIPが172.22.100.2 の設定になります。

   Shell

   [root@cent8-nsd01 nsd]# cat /etc/nsd/nsd.conf server: ip-address: 172.22.100.1 logfile: "/var/log/nsd.log" hide-version: yes remote-control: control-enable: yes zone: name: "test.server-network-note.net" zonefile: "/etc/nsd/zones/test.server-network-note.net.zone" notify: 172.22.100.2 NOKEY provide-xfr: 172.22.100.2 NOKEY zone: name: "100.22.172.in-addr.arpa" zonefile: "/etc/nsd/zones/100.22.172.in-addr.arpa.zone" notify: 172.22.100.2 NOKEY provide-xfr: 172.22.100.2 NOKEY [root@cent8-nsd01 nsd]#

   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18

   [root@cent8-nsd01 nsd]# cat /etc/nsd/nsd.conf server:         ip-address: 172.22.100.1         logfile: "/var/log/nsd.log"         hide-version: yes remote-control:         control-enable: yes zone:         name: "test.server-network-note.net"         zonefile: "/etc/nsd/zones/test.server-network-note.net.zone"         notify: 172.22.100.2 NOKEY         provide-xfr: 172.22.100.2 NOKEY zone:         name: "100.22.172.in-addr.arpa"         zonefile: "/etc/nsd/zones/100.22.172.in-addr.arpa.zone"         notify: 172.22.100.2 NOKEY         provide-xfr: 172.22.100.2 NOKEY [root@cent8-nsd01 nsd]#

3. 正引きZONEファイル
   ZONEファイルの形式はBINDと同じです。
   Shell

   [root@cent8-nsd01 zones]# cat /etc/nsd/zones/test.server-network-note.net.zone $TTL 3600 @ IN SOA test.server-network-note.net. root.server-network-note.net. ( 2020071201 ;serial 10800 ;refresh 3600 ;retry 604800 ;expire 600 ) ;negcache ; IN NS cent8-nsd01.test.server-network-note.net. IN NS cent8-nsd02.test.server-network-note.net. ; ; test IN A 172.22.100.99 @ IN A 172.22.100.10 cent8-nsd01 IN A 172.22.100.1 cent8-nsd02 IN A 172.22.100.2 cent8-unbound IN A 172.22.100.3 [root@cent8-nsd01 zones]#

   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

   [root@cent8-nsd01 zones]# cat /etc/nsd/zones/test.server-network-note.net.zone $TTL 3600 @               IN      SOA     test.server-network-note.net. root.server-network-note.net. (                                 2020071201      ;serial                                 10800           ;refresh                                 3600            ;retry                                 604800          ;expire                                 600 )           ;negcache ;                 IN      NS      cent8-nsd01.test.server-network-note.net.                 IN      NS      cent8-nsd02.test.server-network-note.net. ; ; test            IN      A       172.22.100.99   @               IN      A       172.22.100.10 cent8-nsd01     IN      A       172.22.100.1 cent8-nsd02     IN      A       172.22.100.2 cent8-unbound   IN      A       172.22.100.3 [root@cent8-nsd01 zones]#

4. 逆引きZONEファイル
   ZONEファイルの形式はBINDと同じです。
   Shell

   [root@cent8-nsd01 zones]# cat /etc/nsd/zones/100.22.172.in-addr.arpa.zone @ IN SOA test.server-network-note.net. root.server-network-note.net. ( 2020071201 ;Serial 3600 ;Refresh 900 ;Retry 3600000 ;Expire 3600 ) ;Minimum IN NS cent8-nsd01.test.server-network-note.net. IN NS cent8-nsd02.test.server-network-note.net. IN A 255.255.255.0 1 IN PTR cent8-nsd01.test.server-network-note.net. 2 IN PTR cent8-nsd02.test.server-network-note.net. 3 IN PTR cent8-unbound.test.server-network-note.net. 100 IN PTR test.test.server-network-note.net. [root@cent8-nsd01 zones]#

   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17

   [root@cent8-nsd01 zones]# cat /etc/nsd/zones/100.22.172.in-addr.arpa.zone @ IN SOA test.server-network-note.net. root.server-network-note.net. (         2020071201 ;Serial         3600 ;Refresh         900 ;Retry         3600000 ;Expire         3600 ) ;Minimum           IN      NS      cent8-nsd01.test.server-network-note.net.         IN      NS      cent8-nsd02.test.server-network-note.net.         IN      A       255.255.255.0   1       IN      PTR     cent8-nsd01.test.server-network-note.net. 2       IN      PTR     cent8-nsd02.test.server-network-note.net. 3       IN      PTR     cent8-unbound.test.server-network-note.net. 100     IN      PTR     test.test.server-network-note.net. [root@cent8-nsd01 zones]#

5. NSDサーバーの自動起動設定および起動
   Shell

   [root@cent8-nsd01 zones]# systemctl enable --now nsd Created symlink /etc/systemd/system/multi-user.target.wants/nsd.service → /usr/lib/systemd/system/nsd.service. [root@cent8-nsd01 zones]#

   1 2 3

   [root@cent8-nsd01 zones]# systemctl enable --now nsd Created symlink /etc/systemd/system/multi-user.target.wants/nsd.service → /usr/lib/systemd/system/nsd.service. [root@cent8-nsd01 zones]#

セカンダリーサーバの設定

1. ZONEファイルのディレクトリ権限設定
   
   Shell

   [root@cent8-nsd02 ~]# mkdir /etc/nsd/zones [root@cent8-nsd02 ~]# chown nsd:nsd /etc/nsd/zones/

   1 2	[root@cent8-nsd02 ~]# mkdir /etc/nsd/zones [root@cent8-nsd02 ~]# chown nsd:nsd /etc/nsd/zones/

2. /etc/nsd/nsd.conf の設定ファイル

   プライマリーサーバのIPが172.22.100.1 セカンダリーサーバのIPが172.22.100.2 の設定になります。

   Shell

   [root@cent8-nsd02 nsd]# cat /etc/nsd/nsd.conf server: ip-address: 172.22.100.2 logfile: "/var/log/nsd.log" hide-version: yes remote-control: control-enable: yes zone: name: "test.server-network-note.net" zonefile: "/etc/nsd/zones/test.server-network-note.net.zone" allow-notify: 172.22.100.1 NOKEY request-xfr: 172.22.100.1 NOKEY zone: name: "100.22.172.in-addr.arpa" zonefile: "/etc/nsd/zones/100.22.172.in-addr.arpa.zone" allow-notify: 172.22.100.1 NOKEY request-xfr: 172.22.100.1 NOKEY [root@cent8-nsd02 nsd]#

   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18

   [root@cent8-nsd02 nsd]# cat /etc/nsd/nsd.conf server:         ip-address: 172.22.100.2         logfile: "/var/log/nsd.log"         hide-version: yes remote-control:         control-enable: yes zone:         name: "test.server-network-note.net"         zonefile: "/etc/nsd/zones/test.server-network-note.net.zone"         allow-notify: 172.22.100.1 NOKEY         request-xfr: 172.22.100.1 NOKEY zone:         name: "100.22.172.in-addr.arpa"         zonefile: "/etc/nsd/zones/100.22.172.in-addr.arpa.zone"         allow-notify: 172.22.100.1 NOKEY         request-xfr: 172.22.100.1 NOKEY [root@cent8-nsd02 nsd]#

3. NSDサーバーの自動起動設定および起動
   
   Shell

   [root@cent8-nsd02 nsd]# systemctl enable --now nsd Created symlink /etc/systemd/system/multi-user.target.wants/nsd.service → /usr/lib/systemd/system/nsd.service. [root@cent8-nsd02 nsd]#

   1 2 3

   [root@cent8-nsd02 nsd]# systemctl enable --now nsd Created symlink /etc/systemd/system/multi-user.target.wants/nsd.service → /usr/lib/systemd/system/nsd.service. [root@cent8-nsd02 nsd]#

NSDの設定変更

nsd.conf設定変更

nsd.conf の設定変更

ZONEファイルの反映

ZONEファイルの反映 nsd-control ゾーン名 で反映されます。

NSD参考情報

• NSD 公式サイト
• 日本Unboundユーザ会 最近は更新されていませんが、日本語でNSD4のマニュアルがあります。

CentOS8 その他設定方法は下記ページからどうぞ