Методы защиты BIND

Belansky · Отправлено: **11:19, 11-07-2007** | #2

Здесь можно подразумевать и общую настройку брандмауэра и настройку безопасности средствами самого BIND, как-то TSIG.
Опять-таки, инаормации об этом в сети много. Будут конкретные вопросы - пишите

salimk · Отправлено: **08:15, 25-07-2007** | #3

в named.conf

acl "nameservers" {
192.168.12.238;
192.168.12.238;
localhost;
};

zone "domain.com" in {
type master;
file "/etc/bind/domain.com";
allow-query { any; }; - это строка разрешает запросы со всеми
allow-transfer { nameservers; }; - это строка разрешает передачу только с Name Server-ами
};

Raven2000 · Отправлено: **23:32, 27-07-2007** | #4

В часности если ковырять только DNS то
Засунем DNS в песочницу

# named –u 53 –t /var/named

-u – значение UID присваемое процессу named
-t – указывает корневой каталог для демона
Незабываем, что корневой каталог недолжен, быть пустым, он должен содержать все файлы
необходимые для нормальной работы демона. Если named скомпилирован так чтобы
библиотеки компоновались статически и не нужно было думать что ему надо еще в корневую
положить чтобы он запустился

Так же некоторые советуют в конфиге DNS убрать строчку
об версии демона дескать оно сможет помочь атакующему и т.д. я не считаю это критически
она может подсказкой и самому админу.

Если что мини статейка Защищаем FreeBSD (defender +1)