Какда стана dns администратор за изключително кратко време
Изтегляне 0.49 Mb.
|
това и как да се справите с него. Прочетохте ли го ? Няма да го обяснявам затова моля прочетете го. Първата част от проблема е че вашият ISP трябва да разбира техниката описан от Mr. DNS. Не всички малки ISP разбират напълно това. Ако трябва да им го разясните бъдете упорит. Но първо се уверете че вие сте го разбрали ;-). Те ще настроят добра обратна зона на техния сървър, която може да проверите за коректност с dig. Втората и последна част от проблема е че вия трябва да разберете техниката. Ако не сте сигурни, върнете се и прочетете отново. Тогава може да настроите вашата извънкласова обратна зона описана от Mr. DNS. Тук обаче има един друг проблем. Старите преобразуватели не могат да следват трика с CNAME във веригата от преобразувания и няма да могат да стигнат до твоята машина. Това може да стане в резултат на пренасочване в грешен клас на достъп, отказ на достъп или нещо подобно . Ако се натъкнете на това, единственото решение (което аз знам) е за вашият ISP да добави вашите PTR записи директно в техния "измамен" извънкласов файл за зона , вместо трика с CNAME записа. Някои ISP предлагат други начини за решение на това, като Web базирани формуляри да въведете обратни зони или други автоматизирани системи. 5.6. Подчинени сървъри След като сте настроили вашите зони правилно на главните сървъри имате нужда от поне един подчинен сървър. Подчинените сървъри са нужни за подсигуряване . Ако вашия главен сървър спре останалите хора в мрежата ще могат да получат информация за вашия домейн от подчинения. Подчинения би трябвало да бъде възможно най-далече. Главния и подчинен сървъри трябва да делят възможно най-малко от : Захранване, LAN, ISP, град и държава. Ако всички от по-горните неща са различни за вашите главен и подчинен сървъри, вие сте намерили наистина добър подчинен сървър. Подчинения е просто сървър на имената, който копира файловете за зоните от главния. Описва се така : ______________________________________________________________________ zone "linux.bogus" { type slave; file "sz/linux.bogus"; masters { 192.168.196.2; }; }; ______________________________________________________________________ Механизъм наречен zone-transfer (прехвърляне на зоните) се използва за копиране на информацията. Zone-transfer се контролира от вашия SOA запис : ______________________________________________________________________ @ IN SOA ns.linux.bogus. hostmaster.linux.bogus. ( 199802151 ; serial, todays date + todays serial # 8H ; refresh, seconds 2H ; retry, seconds 4W ; expire, seconds 1D ) ; minimum, seconds ______________________________________________________________________ Зоната се прехвърля само ако серийния номер на главния е по-голям от този на подчинения. Подчинения проверява през определен интервал(refresh) дали главния е бил променен. Ако проверката не е успешна (защото главния не работи) той ще продължи да проверява на всеки интервал (retry). Ако опитите продължат да са неуспешни до изтичане на интервала (expire), подчинения ще премахне зоната и повече няма да бъде сървър за нея.
6. Основни опции за сигурността. От Jamie Norrish Настройки за намаляване на възможните проблеми. Има няколко прости стъпки след които вашият сървър да стане по сигурен и да се намали натоварването. Този материал е само за начална точка ; ако сте заинтересован от сигурността (и би трябвало), потърсете и други материали по темата в мрежата (вижте ``последна глава''). Следващите конфигурации се отнасят за named.conf. Ако условието се намира в секцията "options" на файла, тя се отнася за всички зони описани в този файл. Ако се намира в описание на зона, отнася се само за тази зона. Вписаното в зоната (ако има) се взима под внимание вместо това в "options". 6.1. Ограничаване на прехвърлянето на зоните Понеже вашите подчинени сървъри трябва да отговарят на заявки за вашият домейн, те трябва да могат да изтеглят информацията за зоните от главния сървър. Почти никой друг не би трябвало да прави това. Следователно ограничаването на прехвърлянето на зоните чрез опцията allow-transfer. 192.168.1.4 е IP адреса на ns.friend.bogus и добавяме себе си за да може да тестваме : ______________________________________________________________________ zone "linux.bogus" { allow-transfer { 192.168.1.4; localhost; }; }; ______________________________________________________________________ Чрез ограничаването на прехвърлянето, осигурявате че хората ще получават отговор само за своите питания - никой не може просто да пита за всички детайли във вашите настройки. 6.2. Защита от спуфинг (spoofing)
вашите локални машини. Това не само ще предотврати злонамерена употреба на вашия DNS сървър, но и ще намали ненужната му употреба. ______________________________________________________________________ options { allow-query { 192.168.196.0/24; localhost; }; };
allow-query { any; }; };
allow-query { any; }; }; ______________________________________________________________________ След това, забранете рекурсивните заявки, освен вътрешните. Това ще намали риска от "cache poisoning" атаки (при които невалидни данни се изпращат към вашия сървър). ______________________________________________________________________ options { allow-recursion { 192.168.196.0/24; localhost; }; }; ______________________________________________________________________ 6.3. Стартиране на named без root привилегии Добра идея е да стартирате named като обикновен потребител, така ако някой кракер получи някакви права на сървъра, те ще бъдат възможно най-малки. Трябва да направите потребител и група за named с под който да го стартирате, след това променете скрипта който стартира named. Подайте на новите име и група на named чрез флаговете -u и -g . За пример, при Debian GNU/Linux 2.2 би трябвало за редактирате /etc/init.d/bind да съдържа следния ред (където потребителя и групата named са създадените от вас) : ______________________________________________________________________ start-stop-daemon --start --quiet --exec /usr/sbin/named -- -u named -g named ______________________________________________________________________
Същото може да бъде направено и при Red Hat and или други дистрибуции. Dave Lugo описва конфигурация за сигурност, използвайки chroot на
Каталог: wp-content -> uploads -> 2009 2009 -> Католически Литургичен Календар 2010 2009 -> Смб – Секция “Изток” Великденско математическо състезание 22. 04. 2007 г 2009 -> 1. Числото, което се получава от числото 194 973, като се разменят цифрите на десетиците и хилядите, е 2009 -> Програма за развитие на сектор „Рибарство на Република България, финансирана от Европейския фонд по рибарство за Програмен период 2007 2013 г 2009 -> Програма за развитие на сектор "Рибарство" на Република България, финансирана от Европейския фонд по рибарство за Програмен период 2007 2013 г 2009 -> Програма за развитие на сектор "рибарство" (опрср) на република българия, финансирана от европейския фонд за рибарство за програмен период 2007 2013 Г. Изтегляне 0.49 Mb. Сподели с приятели:
|