Po zainstalowaniu serwera Bind DNS dobrym nawykiem jest jego podstawowe zabezpieczenie.
Przede wszystkim należy zadbać, aby serwer DNS nie służył tylko maszynom z zaufanej sieci. W tym celu należy sprawdzić, czy w sekcji options nie znajduje się linia:
allow-query {all;};
Jeśli tak, należy ją zastąpić bardziej restrykcyjnym wpisem, którym zezwalamy na odpytywanie serwera tylko z sieci lokalnej. zezwalamy także na wyszukiwanie innych niż nasze domeny (rekursja) wyłącznie sieciom zaufanym.
acl "lokalne" { 127.0.0.1/8; twoja_siec/maska; jeszcze_jedna/maska; }; options { (...) allow-query { "lokalne"; }; allow-recursion { "lokalne"; }; (...) }
Aby inni mogli odpytywać obsługiwane przez nas domeny, w konfiguracji stref należy na to pozwolić:
zone "twoja_dom.com" { type master; allow-transfer { adres.twojego.slave.dns; }; file "plik_stryfy_twoja_dom.com"; allow-query { 0.0.0.0/0; }; };
Dla większej przejrzystości logów można także włączyć osobny log dotyczący bezpieczeństwa bind:
logging { channel security_file { file "/var/log/named/security.log" versions 3 size 30m; severity dynamic; print-time yes; }; category security { security_file; }; };
Należy pamiętać o wcześniejszym utworzeniu katalogu /var/log/named i przyznaniu odpowiednich praw.