Következő Előző Tartalom

6. Alapvető biztonsági beállítások

Jamie Norrish

A konfigurációs opciók beállítása a problémák valószínűségének csökkentése érdekében.

Van néhány egyszerű lépés amelyet megtehetsz, ezek biztonságosabbá teszik a szerveredet, és esetlegesen csökkentik a terhelését is. Az itt bemutatott anyag nem több, mint egy kiindulási pont; ha érdekelt vagy a biztonságban (és így kellene lennie), kérlek tanulmányozz át más forrásmunkákat is a hálózaton (lásd az utolsó fejezetet).

A következő beállítási direktívák fordulnak elő a named.conf állományban. Az options részben található direktívák az összes zónára vonatkoznak. Ha a zone bejegyzésben fordul elő, csak arra a zónára vonatkozik. Egy zone bejegyzés felülírja az options bejegyzést.

6.1 A zónaátvitelek korlátozása

Annak érdekében, hogy a másodlagos szervere(i)d képes legyen válaszolni a tartományodra vonatkozó lekérdezésekre, képeseknek kell lenniük áthozni a zónainformációt az elsődleges szerveredről. Nagyon sokan szeretnének szintén így cselekedni. Ezért korlátozd a zónaátvitelt az allow-transfer opció használatával, feltételezve, hogy 192.168.1.4 az ns.friend.bogus címe, és hozzáadva saját magadat hibakeresési célból:


zone "linux.bogus" {
      allow-transfer { 192.168.1.4; localhost; };
};

A zónaátvitelek korlátozásával biztosítod, hogy az egyetlen elérhető információ az, amit az emberek közvetlenül kérdeznek - senki sem kérdezheti le csak úgy beállításod összes részletét.

6.2 Védekezés az "átejtés" ellen

Legelőször kapcsolj ki minden lekérdezést, ami nem az általad birtokolt tartományokra irányul, kivéve a belső/helyi gépeidről indulókat. Ez nem csak a DNS szervered rosszindulatú kihasználását előzi meg, de csökkenti szervered felesleges használatát is.


options {
      allow-query { 192.168.196.0/24; localhost; };
};

zone "linux.bogus" {
      allow-query { any; };
};

zone "196.168.192.in-addr.arpa" {
      allow-query { any; };
};

Továbbá kapcsold ki a rekurzív lekérdezéseket, kivéve a belső/helyi gépektől. Ez csökkenti a gyorsítótár-mérgezéses támadások esélyét (amikor hamis adatokkal tömik a szerveredet).


options {
        allow-recursion { 192.168.196.0/24; localhost; };
};

6.3 A named futtatása nem-root-ként

Egy jó ötlet a named-et a root-tól különböző felhasználóként futtatni, így ha feltörik a cracker által szerzett jogok a lehető legkorlátozottabbak. Először létre kell hoznod egy felhasználót ami alatt a named fusson, majd módosítani bármely általad használt, a named-et indító init szkriptet. Az új felhasználónevet és csoportot a named-nek az -u és -g kapcsolók segítségével add meg.

Például: Debian GNU/Linux 2.2-ben módosítanod kell a /etc/init.d/bind szkriptet, hogy tartalmazza a következő sort (ahol a named felhasználó már létre lett hozva):


start-stop-daemon --start --quiet --exec /usr/sbin/named -- -u named

Ugyanez megtehető a Red Hat-al és más disztribúciókkal is.

Dave Lugo leírt egy biztonságos kettős chroot beállítást, amely a http://www.etherboy.com/dns/chrootdns.html honlapon található, ez még biztonságosabbá teheti a gépet, amelyen a named-et futtatod.


Következő Előző Tartalom