Bind – unikaj otwartego DNS.

Bind – unikaj otwartego DNS.

Po zainstalowaniu serwera Bind DNS dobrym nawykiem jest jego podstawowe zabezpieczenie.

Przede wszystkim należy zadbać, aby serwer DNS nie służył tylko maszynom z zaufanej sieci. W tym celu należy sprawdzić, czy w sekcji options nie znajduje się linia:

allow-query {all;};

Jeśli tak, należy ją zastąpić bardziej restrykcyjnym wpisem, którym zezwalamy na odpytywanie serwera tylko z sieci lokalnej. zezwalamy także na wyszukiwanie innych niż nasze domeny (rekursja) wyłącznie sieciom zaufanym.

acl "lokalne" { 127.0.0.1/8; twoja_siec/maska; jeszcze_jedna/maska; };

options {

(...)

	allow-query { "lokalne"; };
	allow-recursion { "lokalne"; };
(...)

}

Aby inni mogli odpytywać obsługiwane przez nas domeny, w konfiguracji stref należy na to pozwolić:

zone "twoja_dom.com" {
	type master;
	allow-transfer { adres.twojego.slave.dns; };
	file "plik_stryfy_twoja_dom.com";
	allow-query { 0.0.0.0/0; };
};

Dla większej przejrzystości logów można także włączyć osobny log dotyczący bezpieczeństwa bind:

logging {
	channel security_file {
		file "/var/log/named/security.log" versions 3 size 30m;
		severity dynamic;
		print-time yes;
	};
	category security {
		security_file;
	};
};

Należy pamiętać o wcześniejszym utworzeniu katalogu /var/log/named i przyznaniu odpowiednich praw.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.