Hier werden die Unterschiede zwischen zwei Versionen gezeigt.
Nächste Überarbeitung | Vorherige Überarbeitung | ||
lpi2:bind_absichern [2014/02/14 14:38] ingo_wichmann angelegt |
lpi2:bind_absichern [2020/05/06 13:15] ingo_wichmann |
||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
====== Bind absichern ====== | ====== Bind absichern ====== | ||
+ | ===== rekursive Abfragen abschalten ===== | ||
+ | <file> | ||
+ | options { | ||
+ | recursion no; | ||
+ | }; | ||
+ | </file> | ||
===== rekursive Abfragen verbieten ===== | ===== rekursive Abfragen verbieten ===== | ||
Zeile 7: | Zeile 13: | ||
<file> | <file> | ||
acl friendly { | acl friendly { | ||
- | 192.168.1.0/24; // | + | 192.168.1.0/24; |
}; | }; | ||
Zeile 15: | Zeile 21: | ||
</file> | </file> | ||
- | (( oder, wenn man einen rein rekursiven, also einen nicht autoritativen, Nameserver ohne eigene Zonendateien betreibt sogar: | + | (( oder, wenn man einen hidden primary Nameserver betreibt sogar: |
<file> | <file> | ||
Zeile 23: | Zeile 29: | ||
</file> | </file> | ||
)) | )) | ||
+ | |||
+ | (( | ||
+ | ''allow-query-cache'' muss nicht zusätzlich eingeschränkt werden, da es per default den Wert von ''allow-recursion'' übernimmt. | ||
+ | )) | ||
+ | |||
===== Zonentransfer verbieten ===== | ===== Zonentransfer verbieten ===== | ||
Zeile 59: | Zeile 70: | ||
<file> | <file> | ||
options { | options { | ||
- | </file> | + | … |
- | ... | + | |
- | <file> | + | |
listen-on-v6 { none; }; | listen-on-v6 { none; }; | ||
+ | … | ||
}; | }; | ||
</file> | </file> | ||
Zeile 103: | Zeile 113: | ||
Beim nächsten restart läuft bind in einer chroot-Umgebung. Überprüfen: (( Anders als in manchen HowTos beschrieben ist es nicht notwendig ''/dev/log'' ins chroot zu legen und den Syslog anzupassen. ''named'' macht erst einen ''connect'' mit ''/dev/log'' und erst danach ''chroot''. )) | Beim nächsten restart läuft bind in einer chroot-Umgebung. Überprüfen: (( Anders als in manchen HowTos beschrieben ist es nicht notwendig ''/dev/log'' ins chroot zu legen und den Syslog anzupassen. ''named'' macht erst einen ''connect'' mit ''/dev/log'' und erst danach ''chroot''. )) | ||
+ | |||
/etc/init.d/bind9 restart | /etc/init.d/bind9 restart | ||
ls /proc/`pgrep named`/root | ls /proc/`pgrep named`/root | ||