BIND i serwer nazw
: 30 lipca 2013, 11:26
Witam.
Niedawno zainstalowałem Debiana 7.1 i pomyślałem, że dobrze by było uruchomić buforujący serwer nazw. Zainstalowałem BINDA wraz z domyślną konfiguracją i działał poprawnie, buforował zapytania itp.
Ostatnio mam jednak problem bo wygląda na to, że jest podatny: na:
W logach mam non stop:
A po ustawieniu /etc/bind/named.conf.options:
allow-recursion { 192.168.x.0/24;};
Kiedyś miałem już podobny problem ale dało się to zablokować przez iptables, ale tym razem nic nie daje.
Edycja:
Witam.
Użyłem środowiska chroot dla binda według tego skryptu:
Wiem, że powinienem to zrobić na samym początku.
Poszło bez błędów tylko nie wiem jak sprawdzić, czy działa teraz w wydzielonym środowisku.
Chyba po jego uruchomieniu powinienem mieć w "/etc/default/bind9" coś jak:
a jest dalej tak jak było.
Ale w logach dalej mam:
Niedawno zainstalowałem Debiana 7.1 i pomyślałem, że dobrze by było uruchomić buforujący serwer nazw. Zainstalowałem BINDA wraz z domyślną konfiguracją i działał poprawnie, buforował zapytania itp.
Ostatnio mam jednak problem bo wygląda na to, że jest podatny: na:
Kod: Zaznacz cały
cache poisoning
W logach mam non stop:
Kod: Zaznacz cały
Jul 28 07:35:11 server named[2360]: client 127.0.0.1#49836: RFC 1918 response from Internet for 104.x.168.192.in-addr.arpa
Jul 28 07:35:16 server named[2360]: client 127.0.0.1#59410: RFC 1918 response from Internet for 105.x.168.192.in-addr.arpa
Jul 28 07:35:21 server named[2360]: client 127.0.0.1#55143: RFC 1918 response from Internet for 102.x.168.192.in-addr.arpa
allow-recursion { 192.168.x.0/24;};
Kod: Zaznacz cały
Jul 29 12:55:47 server named[30628]: client 127.0.0.1#53530: query (cache) '122.x.168.192.in-addr.arpa/PTR/IN' denied
Jul 29 12:55:52 server named[30628]: client 127.0.0.1#34685: query (cache) '51.x.168.192.in-addr.arpa/PTR/IN' denied
Jul 29 12:55:57 server named[30628]: client 127.0.0.1#57556: query (cache) '191.x.168.192.in-addr.arpa/PTR/IN' denied
Edycja:
Witam.
Użyłem środowiska chroot dla binda według tego skryptu:
Kod: Zaznacz cały
#!/bin/bash
# Author: Omar AKHAM ([email protected]) 2012
## Install a chrooted Bind9 on Debian (Squeeze tested) script
## Source : [URL]http://wiki.debian.org/Bind9#Bind_Chroot[/URL]
#install bind9
apt-get install bind9 bind9utils &&
#Stop bind service
/etc/init.d/bind9 stop
#Switch Bind9 to use the chroot
sed -i 's/OPTIONS="-u bind"/OPTIONS="-u bind -t \/var\/bind9\/chroot"/g' /etc/default/bind9
#Create chroot
mkdir -p /var/bind9/chroot/{etc,dev,var/cache/bind,var/run/bind/run}
chown -R bind:bind /var/bind9/chroot/var/*
mknod /var/bind9/chroot/dev/null c 1 3
mknod /var/bind9/chroot/dev/random c 1 8
chmod 660 /var/bind9/chroot/dev/{null,random}
#Move config file to chroot
mv /etc/bind /var/bind9/chroot/etc
ln -s /var/bind9/chroot/etc/bind /etc/bind
chown -R bind:bind /etc/bind/*
#Set correct PIDFILE
sed -i 's/PIDFILE=\/var\/run\/named\/named.pid/PIDFILE=\/var\/bind9\/chroot\/var\/run\/named\/named.pid/g' /etc/init.d/bind9
#Tell rsyslog to listen to the bind logs in the correct place
echo "\$AddUnixListenSocket /var/bind9/chroot/dev/log" > /etc/rsyslog.d/bind-chroot.conf
#Start services
/etc/init.d/rsyslog restart;
/etc/init.d/bind9 start
Wiem, że powinienem to zrobić na samym początku.
Poszło bez błędów tylko nie wiem jak sprawdzić, czy działa teraz w wydzielonym środowisku.
Chyba po jego uruchomieniu powinienem mieć w "/etc/default/bind9" coś jak:
Kod: Zaznacz cały
-u bind -t \/var\/bind9\/chroot
Ale w logach dalej mam:
Kod: Zaznacz cały
30-Jul-2013 11:08:48.252 client 127.0.0.1#39562: query (cache) '109.x.168.192.in-addr.arpa/PTR/IN' denied
30-Jul-2013 11:08:53.433 client 127.0.0.1#35385: query (cache) '51.x.168.192.in-addr.arpa/PTR/IN' denied
30-Jul-2013 11:08:58.458 client 127.0.0.1#37911: query (cache) '1.x.168.192.in-addr.arpa/PTR/IN' denied