DNSに、セキュリティの勧告が出ていたので、ここ(Web-based DNS Randomness Test)で調べてみたら、ソースポートが固定であかんらしいので、久しぶりにmake worldした。
待っている間に、ここを見ていたら、うちの設定は間違っているらしいことがわかった。
MXレコードは、CNAMEだといけないらしい。
さっそく、Aレコードを持っている名前に変更した。それ以外は、いくつか書いてあるチェック項目は大丈夫そうだった。
しかし、ここ(DNS AMP check http://www.e-ontap.com/internet/check/)でチェックしたら、オーソリティセクションでngになった。外部のホストからnslookupしても、警告は出ないんだけどなあ。(って、今日やったらanswerもNGになっちゃった)
逆引きができないせいだろうか。
とりあえず、installが終わって再起動したら、最初のサイトでは怒られなくなった。
恒久的な対策ではないらしいので、DNSSECとか言うのをやらないといけないらしいのだが、まだ検討中の上、上位のドメインに署名してもらう必要があるらしい。 ちなみに、プロバイダのDNSサーバは、なんか問題があるようなことが言われていた。 forwardしないでrootサーバを見るように設定したりして良いものだろうか。 どちらにしても、うちのプロバイダは来月末でサービスを終了してしまうので、新しいプロバイダを探して、設定を変えなくてはいけないのだけれど。 この文章は、電車でiPhoneで書いた。最初はこの入力はどうかと思ったが、慣れてくると、zaurusよりは遅いけど、携帯よりは速い。
今のように仕事が忙しいときは、こういう時間が使えるのは良い。
ただ、直接ブラウザで入力する勇気はなかったので、メーラで書いて後でPCで編集した。コピペができれば、iPhoneだけでもいけるようになると思うけど。
待っている間に、ここを見ていたら、うちの設定は間違っているらしいことがわかった。
MXレコードは、CNAMEだといけないらしい。
さっそく、Aレコードを持っている名前に変更した。それ以外は、いくつか書いてあるチェック項目は大丈夫そうだった。
しかし、ここ(DNS AMP check http://www.e-ontap.com/internet/check/)でチェックしたら、オーソリティセクションでngになった。外部のホストからnslookupしても、警告は出ないんだけどなあ。(って、今日やったらanswerもNGになっちゃった)
逆引きができないせいだろうか。
とりあえず、installが終わって再起動したら、最初のサイトでは怒られなくなった。
恒久的な対策ではないらしいので、DNSSECとか言うのをやらないといけないらしいのだが、まだ検討中の上、上位のドメインに署名してもらう必要があるらしい。 ちなみに、プロバイダのDNSサーバは、なんか問題があるようなことが言われていた。 forwardしないでrootサーバを見るように設定したりして良いものだろうか。 どちらにしても、うちのプロバイダは来月末でサービスを終了してしまうので、新しいプロバイダを探して、設定を変えなくてはいけないのだけれど。 この文章は、電車でiPhoneで書いた。最初はこの入力はどうかと思ったが、慣れてくると、zaurusよりは遅いけど、携帯よりは速い。
今のように仕事が忙しいときは、こういう時間が使えるのは良い。
ただ、直接ブラウザで入力する勇気はなかったので、メーラで書いて後でPCで編集した。コピペができれば、iPhoneだけでもいけるようになると思うけど。
トラックバック(0)
このブログ記事を参照しているブログ一覧: DNSの脆弱性
このブログ記事に対するトラックバックURL: https://www.wizard-limit.net/cgi-bin/mt/mt-tb.cgi/1611
コメントする