Naprej Nazaj Kazalo

6. Temeljne varnostne nastavitve

Avtor Jamie Norrish

Nastavitve, s katerimi zmanjšate možnosti za težave

Nekaj preprostih korakov, ki povečajo varnost in potencialno zmanjšajo obremenitev. Tu predstavljena snov je le začetek; če vas skrbi varnost (in ta bi vas morala skrbeti), si oglejte še preostalo gradivo v internetu (glej Zadnje poglavje).

Naslednje nastavitve se pokažejo v named.conf. Če se nastavitev pokaže v razdelku options, zadeva vsa območja v tisti datoteki. Če se pokaže znotraj vnosa zone, zadeva le tista območja. Zapis v vnosu zone je močnejši od tistega v razdelku options.

6.1 Omejevanje prenosa območja

Da bi lahko sekundarni strežniki odgovarjali na poizvedbe, morajo najprej prenesti območje iz vašega primarnega strežnika. Zelo malo drugih ima to potrebo. Zato omejite prenose območja z allow-transfer nastavitvijo. Privzemimo, da je 192.168.1.4 številka IP strežnika ns.friend.izmislek in dodajte še sebe za razhroščevalne namene:


zone "linux.izmislek" {
      allow-transfer { 192.168.1.4; localhost; };
};

S to omejitvijo so ljudem na voljo le podatki, ki jih neposredno zahtevajo. Nihče ne more dobiti natančnih podatkov o vaši postavitvi.

6.2 Zaščita pred prikrivanjem naslova

Najprej onemogočite poizvedbe za domene, ki jih nimate v lasti, razen iz vaših notranjih/krajevnih računalnikov. S tem ne le onemogočite zlonamerno uporabo vašega strežnika, ampak tudi omejite nepotrebno uporabo tega strežnika.


options {
      allow-query { 192.168.196.0/24; localhost; };
};

zone "linux.izmislek" {
      allow-query { any; };
};

zone "196.168.192.in-addr.arpa" {
      allow-query { any; };
};

Zatem onemogočite rekurzivne poizvedbe, razen iz vaših notranjih/krajevnih računalnikov. S tem se izognete napadom z okvarjenimi podatki (ang. cache poisoning attack - napačni podatki se podtaknejo vašemu strežniku).


options {
        allow-recursion { 192.168.196.0/24; localhost; };
};

6.3 Uporaba named kot ne-root

Zelo dobro je, da vaš strežnik named teče pod drugim uporabnikom, kot je root. Tako morebitni vlomilec (ang.: cracker) nima na voljo vseh pravic. Najprej morate ustvariti uporabnika in skupino, pod katero naj teče named, nato pa popravite zagonsko (ang.: init) skripto named. Namedu nastavite uporabniško ime in skupino s stikaloma -u in -g.

Na primer, v Debian GNU/Linux 2.2 spremenite skripto /etc/init.d/bind tako, da je v njej vrstica:


start-stop-daemon --start --quiet --exec /usr/sbin/named -- -u named -g named

Enako je mogoče narediti pri Red Hat in drugih distribucijah. Dave Lugo je opisal varno dvojno postavitev z ječo (ang.: chroot) http://www.etherboy.com/dns/chrootdns.html, ki bi utegnila biti zanimiva za branje.


Naprej Nazaj Kazalo