LINUX.ORG.RU

Защита DNS сервера


0

0

"Прежде, чем приступить к взлому сети или отдельной системы злоумышленник (или группа злоумышленников) пытается собрать как можно больше информации: имена компьютеров сети, имена пользователей, версии установленного программного обеспечения. Целой кладовой полезной для взломщика информации станет неправильно настроенная служба DNS (BIND)."

Публикация Дениса Колисниченко, описывает процесс конфигурирования DNS сервера.

>>> Подробности



Проверено: maxcom

У меня deja vu или это уже было?

PitStop
()

>Если у вас нет вторичного сервера DNS,

??? И как, хорошо живется?

>allow-query { 192.168.1.0/24; localhost; };

Ась? А резольвить имена в зоне для внешних клиентов св. дух будет? allow-recursion {} вполне достаточно.

Zulu ★★☆☆
()
Ответ на: комментарий от Zulu

da horoshi budet "server" s allow-query { 192.168.1.0/24; localhost; }; ;-)

anonymous
()

Господа, а не проще ли поставить djbdns и забыть эти кошмары с bind'ом навсегда?

Поручик Ржевский

anonymous
()
Ответ на: комментарий от anonymous

> Господа, а не проще ли поставить djbdns и забыть эти кошмары с bind'ом навсегда? Нет, не проще (сам поставил djbdns, все работает уже 8 месяцев без перезапуска). Чтобы понять, почему я так говорю, сходите сюда

http://homepages.tesco.net/~J.deBoynePollard/FGA/djbdns-problems.html

А сюда ходить не надо - некоторые патчи (напр. fwdzone) делают не то, что написано:

http://tinydns.org/

Только кто кроме меня может отличить хорошие рекомендации от плохих? Впрочем, если бы D. J. Bernstein по-нормальному поддерживал djbdns, а не пускал все на самотек, этого сообщения бы не было.

anonymous
()

Re:

Интересно, а автор кроме своего дистриба больше никуда не смотрел?? Не везде есть /etc/sysconfig/named, в слаке есть прекрасный Chroo-BIND-HOWTO, во фре так вообще лучше в jail запихать....В данном случае следовало бы назвать статью "Защита BIND9 в дистрибе XXX"

GlorySmith
()
Ответ на: комментарий от anonymous

To anonymous (05.11.2003 22:45:44):

А вы, таваристч, однако, шутник!

phicus
()

Хех, может нам ещё предложат wu-ftpd секьюрно настраивать? да что там безопасность, вы на его размер глянте и подумайте, для чего ВСЁ ЭТО нужно??? UDP пакетиками перекидываться? Я вот вместо него на винт уместил MPlayer. КПД куда выше ;)))

anonymous
()
Ответ на: комментарий от anonymous

> Господа, а не проще ли поставить djbdns и забыть эти кошмары с bind'ом навсегда?

Гонечно проще и лучше. Только если Вы полагаете, то Sun-ch знает о djbbns, то Вы просто оптимист.

PS. Смешно, когда ламер, облажавшийся с симлинками, пытается выдать себя за кульхацкера.

anonymous
()
Ответ на: комментарий от anonymous

> http://homepages.tesco.net/~J.deBoynePollard/FGA/djbdns-problems.html

Не, это не проблемы, это придирки. Придраться и к столбу телеграйному
можно. Я 4 года использую djbdns на коммерческих серверах. Не знаю таких
проблем. Зато Ссанычу с его bind'ом проблемы известны очень хорошо ;)

anonymous
()

Ну что за ламера: одному allow-query не нравится, другому - CNAME кажется ошибкой, третьему - автор поста. Вы что, ослепли ?
По-моему там русским языком написано:
0) "Опция allow-query позволяет указать адреса узлов и сетей, которым можно использовать наш сервер DNS"
Кому надо - тем даем, что тут такого ? Нахрена выставлять наружу локальную зону ?
1) CNAME - ошибка ? Аргументируйте !
2) автор статьи не Sun-ch, а Колисниченко Денис. Вы ее вообще читали ?
> Смешно, когда ламер, облажавшийся с симлинками, пытается выдать себя за кульхацкера.
А постить новости могут только "кульхацкеры" ??? Смешно, когда людям приписывают то, чего они не делали. :-)
Нормальная статья, нехер гнать.

spirit ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.