ろーてくxyz blog

ローテクを駆使してIT関係でサヴァイヴしようとする人による備忘録

DNS BINDのEOL (2018)

IT dns

久々のブログです。
AWXの調査をすっかり忘れてしまっていますが・・・

突然ですがDNSサーバソフトはみなさん何を使っていますでしょうか。
きっとBINDのユーザが多いのではと勝手に思っていますが、
BINDでかつ9.11.X以前をお使いの方は
みなさんもうアップデートはされましたでしょうか。

Extended Support Versions (ESV)

Every other Stable version will be designated for Extended Support, and will be supported for at least four years from initial release. Organizations with a long internal validation, integration or deployment cycle should consider using these versions.

Here are our current ESV versions and their EOL dates:

BIND 9.9 Extended Support Version will be supported until June, 2018
BIND 9.11 is an Extended support version, and will be supported until December, 2021
BIND 9.16 will be our next ESV, followed by BIND 9.20, and every second stable version after that will be ESV.

ISCのページより

今までのESVである9.9系と9.10系が2018/6でEOLを迎えるそうです。
(この記事を書いた今月いっぱい)

プライベートな環境も含めBIND9.9系を使用していたので
9.11について機能差分などを少し調べていました。

主な9.11の新機能はiscにも記載されています。
Release 9.11 Adds Provisioning Options for DNS Authoritative Services - ISC
DNS CookiesやNegative Trust Anchor等、他にも個人的に9.9系からの
sourceのdefault値の差分なども確認してみましたがそこそこ違いはあるようです。
アップデート時には検証などしてから実装されたほうが良いかもしれません。

少し大変そうだなと感じたのはログのフォーマットにも変更があるようです。
セキュリティ系の方でログをSIEM等で集めている方などは注意が必要かもしれません。
configurationではこの辺はさわれないようです。
変更としては"client"の文字列の後に16進数のようなものが増えました。
ちなみにquerylog以外のrpzlogも同様のようです。

23-May-2018 04:02:16.710 queries: info: client @0x7f30d8000a30 127.0.0.1#41446 (www.example.com): query: www.example.com IN A + (127.0.0.1)

23-May-2018 04:02:16.710 queries: info: client 127.0.0.1#59305 (www.example.com): query: www.example.com IN A + (127.0.0.1)

何なのかをbind-usersのMLでスレッドを探していたところ
以下のものを見つけました・・・
http://bind-users-forum.2342410.n4.nabble.com/Bind-Queries-log-file-format-td3447.htmlbind-users-forum.2342410.n4.nabble.com
clientからのリクエスト処理時のポインタのような物らしいです。
debugする際などに使いたいようです。

MallingListなどを見ているとあまり困る方はいないと思うのですが
仕事で一時的に回避できないかと言われ9.11.3向けにpatchを作ってみた事があるので
緊急回避をしたい方はご参考までに。
(利用した事により生じた損害などの責任は持てませんので個人責任でご利用ください)
github.com

ただし長期で使い続けるのではなく最終的にはログを収集しているポイントで修正されるのが良いともいます。

と言う事で、どうしようもない宣伝記事みたいになってしまいましたが、
まだ対応してないよって方は対応が必要かもしれません。

もしかすると色々と機能が増えるので
どうせ検証をするのであればと言う感じで
BINDを辞めるという選択肢もありなのかもしれません。
(もう6月になってますけど)