Jamie Norrish
A konfigurációs opciók beállítása a problémák valószínűségének csökkentése érdekében.
Van néhány egyszerű lépés amelyet megtehetsz, ezek biztonságosabbá teszik a szerveredet, és esetlegesen csökkentik a terhelését is. Az itt bemutatott anyag nem több, mint egy kiindulási pont; ha érdekelt vagy a biztonságban (és így kellene lennie), kérlek tanulmányozz át más forrásmunkákat is a hálózaton (lásd az utolsó fejezetet).
A következő beállítási direktívák fordulnak elő a named.conf
állományban. Az options részben található direktívák az összes zónára vonatkoznak. Ha a zone
bejegyzésben fordul elő, csak arra a zónára vonatkozik. Egy zone
bejegyzés felülírja az options
bejegyzést.
Annak érdekében, hogy a másodlagos szervere(i)d képes legyen válaszolni a
tartományodra vonatkozó lekérdezésekre, képeseknek kell lenniük
áthozni a zónainformációt az elsődleges szerveredről. Nagyon sokan
szeretnének szintén így cselekedni. Ezért korlátozd a zónaátvitelt az
allow-transfer
opció használatával, feltételezve, hogy 192.168.1.4 az
ns.friend.bogus címe, és hozzáadva saját magadat hibakeresési célból:
zone "linux.bogus" { allow-transfer { 192.168.1.4; localhost; }; };
A zónaátvitelek korlátozásával biztosítod, hogy az egyetlen elérhető információ az, amit az emberek közvetlenül kérdeznek - senki sem kérdezheti le csak úgy beállításod összes részletét.
Legelőször kapcsolj ki minden lekérdezést, ami nem az általad birtokolt tartományokra irányul, kivéve a belső/helyi gépeidről indulókat. Ez nem csak a DNS szervered rosszindulatú kihasználását előzi meg, de csökkenti szervered felesleges használatát is.
options { allow-query { 192.168.196.0/24; localhost; }; }; zone "linux.bogus" { allow-query { any; }; }; zone "196.168.192.in-addr.arpa" { allow-query { any; }; };
Továbbá kapcsold ki a rekurzív lekérdezéseket, kivéve a belső/helyi gépektől. Ez csökkenti a gyorsítótár-mérgezéses támadások esélyét (amikor hamis adatokkal tömik a szerveredet).
options { allow-recursion { 192.168.196.0/24; localhost; }; };
Egy jó ötlet a named-et a root-tól különböző felhasználóként futtatni, így ha feltörik a cracker által szerzett jogok a lehető legkorlátozottabbak. Először létre kell hoznod egy felhasználót ami alatt a named fusson, majd módosítani bármely általad használt, a named-et indító init szkriptet. Az új felhasználónevet és csoportot a named-nek az -u és -g kapcsolók segítségével add meg.
Például: Debian GNU/Linux 2.2-ben módosítanod kell a /etc/init.d/bind
szkriptet, hogy tartalmazza a következő sort (ahol a named
felhasználó
már létre lett hozva):
start-stop-daemon --start --quiet --exec /usr/sbin/named -- -u named
Ugyanez megtehető a Red Hat-al és más disztribúciókkal is.
Dave Lugo leírt egy biztonságos kettős chroot beállítást, amely a http://www.etherboy.com/dns/chrootdns.html honlapon található, ez még biztonságosabbá teheti a gépet, amelyen a named-et futtatod.