BINDのログで溢れてた

Logwatchで毎日ログを送っているが、サーバをリプレイスして稼働してから、BINDから送られてくる大量のログで読みづらい。

その対応策を調べたメモなど。

そもそもどういうログなのかと言うと、

--------------------- Named Begin ------------------------

 **Unmatched Entries**
validating @0x7fb724666570: co SOA: got insecure response; parent indicates it should be secure: 1 Time(s)
validating @0x7fb724666570: co.net SOA: bad cache hit (co.net.dlv.isc.org/DLV): 1 Time(s)
validating @0x7fb724666570: com SOA: got insecure response; parent indicates it should be secure: 3 Time(s)
validating @0x7fb724666570: dlv.isc.org SOA: got insecure response; parent indicates it should be secure: 1 Time(s)
validating @0x7fb724666570: drk.mn.dlv.isc.org NSEC: bad cache hit (mn.dlv.isc.org/DS): 1 Time(s)
validating @0x7fb724666570: jp SOA: got insecure response; parent indicates it should be secure: 1 Time(s)
validating @0x7fb724667200: alexco.hn.dlv.isc.org NSEC: bad cache hit (hn.dlv.isc.org/DS): 1 Time(s)
validating @0x7fb724667200: dan.cm.dlv.isc.org NSEC: bad cache hit (cm.dlv.isc.org/DS): 7 Time(s)
validating @0x7fb724667200: dan.mw.dlv.isc.org NSEC: bad cache hit (mw.dlv.isc.org/DS): 7 Time(s)
validating @0x7fb724667200: dan.network.dlv.isc.org NSEC: bad cache hit (network.dlv.isc.org/DS): 5 Time(s)
validating @0x7fb724667200: dlv.isc.org SOA: got insecure response; parent indicates it should be secure: 7 Time(s)
validating @0x7fb724667200: drk.mn.dlv.isc.org NSEC: bad cache hit (mn.dlv.isc.org/DS): 5 Time(s)
validating @0x7fb724667200: illumas.graphics.dlv.isc.org NSEC: bad cache hit (graphics.dlv.isc.org/DS): 6 Time(s)
validating @0x7fb724667200: lifefor.ms.dlv.isc.org NSEC: bad cache hit (ms.dlv.isc.org/DS): 7 Time(s)
validating @0x7fb724667200: toxi.co.dlv.isc.org NSEC: bad cache hit (co.dlv.isc.org/DS): 7 Time(s)
validating @0x7fb724667200: v13.gr.dlv.isc.org NSEC: bad cache hit (v13.gr.dlv.isc.org/DS): 4 Time(s)

とこれがズラズラと続く。

原因はDNSSECにあるらしい。

DNSSECとはDNS Security Extensionsの略で、デジタル署名によって、ドメインの改竄を防ぐ機能のことだ。

ただこのサーバのDNSは内向きにしか運用してないから、不要であるゆえ、切ってしまう。

# vi /var/named/chroot/etc/named.conf

 dnssec-enable no;
 dnssec-validation no;
# dnssec-lookaside auto;

# /etc/rc.d/init.d/named reload

これで暫く様子を見てみるとしよう。

参考

DNS Security Extensions – Wikipedia

№2330 最新版のnamedに実装されたDNSSECについて – Web Patio – CentOSで自宅サーバー構築