Avtor Jamie Norrish
Nastavitve, s katerimi zmanjšate možnosti za težave
Nekaj preprostih korakov, ki povečajo varnost in potencialno zmanjšajo obremenitev. Tu predstavljena snov je le začetek; če vas skrbi varnost (in ta bi vas morala skrbeti), si oglejte še preostalo gradivo v internetu (glej Zadnje poglavje).
Naslednje nastavitve se pokažejo v named.conf
. Če se nastavitev pokaže v
razdelku options
, zadeva vsa območja v tisti datoteki. Če se pokaže znotraj
vnosa zone
, zadeva le tista območja. Zapis v vnosu zone
je močnejši od
tistega v razdelku options
.
Da bi lahko sekundarni strežniki odgovarjali na poizvedbe, morajo najprej
prenesti območje iz vašega primarnega strežnika. Zelo malo drugih ima to potrebo.
Zato omejite prenose območja z allow-transfer
nastavitvijo. Privzemimo, da je
192.168.1.4 številka IP strežnika ns.friend.izmislek in dodajte še sebe za
razhroščevalne namene:
zone "linux.izmislek" { allow-transfer { 192.168.1.4; localhost; }; };
S to omejitvijo so ljudem na voljo le podatki, ki jih neposredno zahtevajo. Nihče ne more dobiti natančnih podatkov o vaši postavitvi.
Najprej onemogočite poizvedbe za domene, ki jih nimate v lasti, razen iz vaših notranjih/krajevnih računalnikov. S tem ne le onemogočite zlonamerno uporabo vašega strežnika, ampak tudi omejite nepotrebno uporabo tega strežnika.
options { allow-query { 192.168.196.0/24; localhost; }; }; zone "linux.izmislek" { allow-query { any; }; }; zone "196.168.192.in-addr.arpa" { allow-query { any; }; };
Zatem onemogočite rekurzivne poizvedbe, razen iz vaših notranjih/krajevnih računalnikov. S tem se izognete napadom z okvarjenimi podatki (ang. cache poisoning attack - napačni podatki se podtaknejo vašemu strežniku).
options { allow-recursion { 192.168.196.0/24; localhost; }; };
Zelo dobro je, da vaš strežnik named teče pod drugim uporabnikom, kot je root. Tako morebitni vlomilec (ang.: cracker) nima na voljo vseh pravic. Najprej morate ustvariti uporabnika in skupino, pod katero naj teče named, nato pa popravite zagonsko (ang.: init) skripto named. Namedu nastavite uporabniško ime in skupino s stikaloma -u in -g.
Na primer, v Debian GNU/Linux 2.2 spremenite skripto /etc/init.d/bind
tako, da je v njej vrstica:
start-stop-daemon --start --quiet --exec /usr/sbin/named -- -u named -g named
Enako je mogoče narediti pri Red Hat in drugih distribucijah. Dave Lugo je opisal varno dvojno postavitev z ječo (ang.: chroot) http://www.etherboy.com/dns/chrootdns.html, ki bi utegnila biti zanimiva za branje.