Po zainstalowaniu serwera Bind DNS dobrym nawykiem jest jego podstawowe zabezpieczenie.
Przede wszystkim należy zadbać, aby serwer DNS nie służył tylko maszynom z zaufanej sieci. W tym celu należy sprawdzić, czy w sekcji options nie znajduje się linia:
allow-query {all;};
Jeśli tak, należy ją zastąpić bardziej restrykcyjnym wpisem, którym zezwalamy na odpytywanie serwera tylko z sieci lokalnej. zezwalamy także na wyszukiwanie innych niż nasze domeny (rekursja) wyłącznie sieciom zaufanym.
acl "lokalne" { 127.0.0.1/8; twoja_siec/maska; jeszcze_jedna/maska; };
options {
(...)
allow-query { "lokalne"; };
allow-recursion { "lokalne"; };
(...)
}
Aby inni mogli odpytywać obsługiwane przez nas domeny, w konfiguracji stref należy na to pozwolić:
zone "twoja_dom.com" {
type master;
allow-transfer { adres.twojego.slave.dns; };
file "plik_stryfy_twoja_dom.com";
allow-query { 0.0.0.0/0; };
};
Dla większej przejrzystości logów można także włączyć osobny log dotyczący bezpieczeństwa bind:
logging {
channel security_file {
file "/var/log/named/security.log" versions 3 size 30m;
severity dynamic;
print-time yes;
};
category security {
security_file;
};
};
Należy pamiętać o wcześniejszym utworzeniu katalogu /var/log/named i przyznaniu odpowiednich praw.