за добро обяснение на
това и как да се справите с него.
Прочетохте ли го ? Няма да го обяснявам затова моля прочетете го.
Първата част от проблема е че вашият ISP трябва да разбира
техниката описан от Mr. DNS. Не всички малки ISP разбират
напълно това. Ако трябва да им го разясните бъдете
упорит. Но първо се уверете че вие сте го разбрали ;-). Те ще
настроят добра обратна зона на техния сървър, която може да проверите
за коректност с dig.
Втората и последна част от проблема е че вия трябва да разберете
техниката. Ако не сте сигурни, върнете се и прочетете отново.
Тогава може да настроите вашата извънкласова обратна зона описана
от Mr. DNS.
Тук обаче има един друг проблем. Старите преобразуватели не могат да
следват трика с CNAME във веригата от преобразувания и няма да могат
да стигнат до твоята машина. Това може да стане в резултат на
пренасочване в грешен клас на достъп, отказ на достъп или нещо
подобно . Ако се натъкнете на това, единственото решение
(което аз знам) е за вашият ISP да добави вашите PTR записи директно
в техния "измамен" извънкласов файл за зона , вместо трика с CNAME
записа.
Някои ISP предлагат други начини за решение на това, като Web базирани
формуляри да въведете обратни зони или други автоматизирани системи.
5.6. Подчинени сървъри
След като сте настроили вашите зони правилно на главните сървъри
имате нужда от поне един подчинен сървър. Подчинените сървъри са нужни
за подсигуряване . Ако вашия главен сървър спре останалите хора в
мрежата ще могат да получат информация за вашия домейн от
подчинения. Подчинения би трябвало да бъде възможно най-далече. Главния
и подчинен сървъри трябва да делят възможно най-малко от : Захранване,
LAN, ISP, град и държава. Ако всички от по-горните неща са
различни за вашите главен и подчинен сървъри, вие сте намерили
наистина добър подчинен сървър.
Подчинения е просто сървър на имената, който копира файловете за
зоните от главния. Описва се така :
______________________________________________________________________
zone "linux.bogus" {
type slave;
file "sz/linux.bogus";
masters { 192.168.196.2; };
};
______________________________________________________________________
Механизъм наречен zone-transfer (прехвърляне на зоните) се използва
за копиране на информацията. Zone-transfer се контролира от вашия
SOA запис :
______________________________________________________________________
@ IN SOA ns.linux.bogus. hostmaster.linux.bogus. (
199802151 ; serial, todays date + todays serial #
8H ; refresh, seconds
2H ; retry, seconds
4W ; expire, seconds
1D ) ; minimum, seconds
______________________________________________________________________
Зоната се прехвърля само ако серийния номер на главния е
по-голям от този на подчинения. Подчинения проверява през определен
интервал(refresh) дали главния е бил променен. Ако проверката не е успешна
(защото главния не работи) той ще продължи да проверява на всеки интервал
(retry). Ако опитите продължат да са неуспешни до изтичане на интервала
(expire), подчинения ще премахне зоната и повече няма да бъде сървър за нея.
6. Основни опции за сигурността.
От Jamie Norrish
Настройки за намаляване на възможните проблеми.
Има няколко прости стъпки след които вашият
сървър да стане по сигурен и да се намали натоварването. Този
материал е само за начална точка ; ако сте заинтересован
от сигурността (и би трябвало), потърсете и други
материали по темата в мрежата (вижте ``последна глава'').
Следващите конфигурации се отнасят за named.conf. Ако
условието се намира в секцията "options" на файла, тя се отнася за всички
зони описани в този файл. Ако се намира в описание на зона,
отнася се само за тази зона. Вписаното в зоната (ако има) се взима под
внимание вместо това в "options".
6.1. Ограничаване на прехвърлянето на зоните
Понеже вашите подчинени сървъри трябва да отговарят на заявки за
вашият домейн, те трябва да могат да изтеглят информацията за зоните от
главния сървър. Почти никой друг не би трябвало да прави това. Следователно
ограничаването на прехвърлянето на зоните чрез опцията allow-transfer.
192.168.1.4 е IP адреса на ns.friend.bogus и добавяме себе си за да
може да тестваме :
______________________________________________________________________
zone "linux.bogus" {
allow-transfer { 192.168.1.4; localhost; };
};
______________________________________________________________________
Чрез ограничаването на прехвърлянето, осигурявате че хората ще
получават отговор само за своите питания - никой не може просто да пита
за всички детайли във вашите настройки.
6.2. Защита от спуфинг (spoofing)
Първо, забранете всички заявки за домейни които не са ваши, освен от
вашите локални машини. Това не само ще предотврати злонамерена
употреба на вашия DNS сървър, но и ще намали ненужната му употреба.
______________________________________________________________________
options {
allow-query { 192.168.196.0/24; localhost; };
};
zone "linux.bogus" {
allow-query { any; };
};
zone "196.168.192.in-addr.arpa" {
allow-query { any; };
};
______________________________________________________________________
След това, забранете рекурсивните заявки, освен вътрешните.
Това ще намали риска от "cache poisoning" атаки (при които невалидни
данни се изпращат към вашия сървър).
______________________________________________________________________
options {
allow-recursion { 192.168.196.0/24; localhost; };
};
______________________________________________________________________
6.3. Стартиране на named без root привилегии
Добра идея е да стартирате named като обикновен потребител, така
ако някой кракер получи някакви права на сървъра, те ще бъдат възможно
най-малки. Трябва да направите потребител и група за named с
под който да го стартирате, след това променете скрипта който стартира
named. Подайте на новите име и група на named чрез флаговете -u и -g .
За пример, при Debian GNU/Linux 2.2 би трябвало за редактирате
/etc/init.d/bind да съдържа следния ред (където потребителя и
групата named са създадените от вас) :
______________________________________________________________________
start-stop-daemon --start --quiet --exec /usr/sbin/named -- -u named -g named
______________________________________________________________________
Същото може да бъде направено и при Red Hat and или други дистрибуции.
Dave Lugo описва конфигурация за сигурност, използвайки chroot на
Сподели с приятели: