2021年1月 – ユウてき

CentOS8設定の基礎 – ネットワークの設定その1

CentOS8ではネットワークの設定を行う為のコマンドが存在します。

稀にファイルの書き換えで設定を行うことを推奨するサイトも見かけますが、自分で設定ファイルを書き換えるのは整合性に問題が生じる可能性があるので、避けるべきです。

今回はネットワーク設定の為のコマンド nmcli について簡単に説明をします。

Unboundは内部向けのDNSリゾルバを構築するためのソフトウェアです。

DNSはホームページのURLをIPアドレスに変換してくれるシステムです。（サーバ公開のためにDNSレコードを作成しているはずなので、なんとなくは分かるかと思います）

しかし、URLを打つ度に大元のDNSサーバ（権威DNSサーバ）に問い合わせていては、権威DNSサーバの負荷が大変なことになります。

このため、権威DNSサーバから得た情報を保管して代わりに回答するDNSリゾルバが存在しています。

PCの設定項目などに存在するDNSサーバは基本的には全てこのDNSリゾルバで、権威DNSサーバはDNSリゾルバからの問い合わせに答えるという形になります。

物流で例えると、製造元（権威DNSサーバ）⇒小売（DNSリゾルバ）⇒消費者（クライアントPC）という感じでしょうか？（多分違う）

これを自宅サーバに立てることで、よく行くサイトのIPアドレスがキャッシュとして記憶され、URLからIPアドレスに変換する時間が3ミリ秒ほど短くなります。（つまり趣味です）

また、RSPAMDなどのDNSを頻繁に参照するソフトが動いている場合、内部にDNSリゾルバがないと、ことある毎に外部に問い合わせてしまうので立てることを推奨します。

DKIMはメールの送信元がドメインの所有者であることを証明するための手段です。

実は送信元のメールアドレスは好きに偽造することが出来ます。

これは現実でも手紙の差出人欄の部分にデタラメを書いても（或いは何も書かなくても）切手を正しく貼って宛先さえしっかりと書けば届いてしまうのと一緒です。

もし、送信元が自分のメールアドレスに偽造されてウィルスメールなどをばら撒かれてしまったら……と考えるとゾッとしますね。

現実の手紙では、例えば自分であると証明できる物を封筒に一緒に入れることで本人が送ったのだと証明できそうですね。

同様にメールではドメインの所有者しか知り得ない情報をメール内に入れることでドメインの所有者が送ったメールであると証明できます。

この証明する仕組みがDKIMとなります。

仕組みとしてはメールの一部（件名や宛先など）を秘密鍵で暗号化した物をメールに添付します。そして、その秘密鍵のペアになる公開鍵をDNSで公開します。

公開鍵で正しく復号できればドメインの所有者から送られたメールと確認できるというものです。

RSPAMDには送信するメールにDKIMの暗号化署名（メールの一部を暗号化した物）を付け加えられる機能があるので、これを使ってDKIMに対応したいと思います。

ちなみにDKIMに対応すると、ドメインの所有者がわざわざスパムメールなどを送らないだろうということでスパムメール扱いされにくくなります。