29572 2013-11-12 11:47:42 +0400 [DNS Amplification Attacks] настройки по-умолчанию 2016-10-21 16:39:27 +0300 1 1 4 Development Sisyphus bind unstable all Linux ASSIGNED P3 enhancement --- 1 asy placeholder evg george glebfm ldv placeholder sem slev vt qa-sisyphus oldest_to_newest 143750 0 asy 2013-11-12 11:47:42 +0400 Мне кажется, что стоит расскомментировать в конфиге по-умолчанию allow-query { localnets; } и allow-recursion { localnets; }. И, возможно, добавить allow-query-cache { localnets; } (это в 9.4 появилось). Может быть, ещё описать acl со списком "10.0.0.0/8; 100.64.0.0/10; 172.16.0.0/12; 192.168.0.0/16;" и, тоже, добавить в allow-query/allow-recursion/allow-query-cache. Устал лазить и добавлять/раскомментировать... 148107 1 asy 2014-10-14 11:40:20 +0400 Так что по поводу allow-query/allow-recursion ? Хотя, есть и другой путь для ограничения данного безобразия: Bug 30398 148911 2 george 2014-11-19 16:55:45 +0300 (В ответ на комментарий №0) > Мне кажется, что стоит расскомментировать в конфиге по-умолчанию allow-query { > localnets; } и allow-recursion { localnets; }. И, возможно, добавить > allow-query-cache { localnets; } (это в 9.4 появилось). Может быть, ещё описать > acl со списком "10.0.0.0/8; 100.64.0.0/10; 172.16.0.0/12; 192.168.0.0/16;" и, > тоже, добавить в allow-query/allow-recursion/allow-query-cache. Устал лазить и > добавлять/раскомментировать... М-м-м. Добавил allow-query-cache в комментарий :). Опишите, пожалуйста, когда ваше решение применимо, и покажите работающий вариант конфигурационного файла с acl. Менять настройку по умолчанию не хочется, но можно же и control написать. 148918 3 asy 2014-11-19 20:02:39 +0300 Настройку по-умолчанию менять необходимо, так как сейчас Bind - сразу готовый усилитель. Слово "localnets" означает адреса, входящие во все сети, поднятые на интерфейcах, так что, в подавляющем большинстве, этого достаточно. То есть, если у DNS-сервра eth0: 10.1.1.1/8 eth1: 192.168.1.200/24 "localnets" будет соответствовать "10.0.0.0/8; 192.168.1.0/24". Если в локалке внутреннего маршрутизатора нет, то все локальные клиенты получат доступ. allow-query { any; }; нужно только в случае, если DNS поддерживает публичные зоны. Это, тоже, не очень частый случай. Для корпоративного или локального кэша "localnets" более, чем достаточно, и тут. allow-query-cache, как выяснилось при более подробном чтении, не очень нужен: если не сказано иное, этот параметр соответствует allow-recursion (и наоборот): http://kb.isc.org/article/AA-00503/0/Whats-the-difference-between-allow-query-cache-and-allow-recursion.html 148920 4 6177 asy 2014-11-19 20:08:09 +0300 Created attachment 6177 Предлагаемый вариант bind.options.conf Вот конфиг. Если "localnets" кажется излишне ограниченным всё равно, можно раскомментировать и добавить acl "privatenets_v4" и добавить везде к "localnets". allow-query { localnets; privatenets_v4; }; По поводу "100.64.0.0/10" - это новый приватный диапазон, но рекомендован для операторов. Может быть, его стоит и убрать. Если надо кому - добавят... 148921 5 ldv 2014-11-19 20:18:21 +0300 imho лучше вообще сделать всё по умолчанию localhost-only, либо allow-query { localhost; }; allow-recursion { localhost; }; либо вообще listen-on { 127.0.0.1; }; А сисадмин все равно сам настроит, что куда раздавать. 148925 6 asy 2014-11-19 22:05:16 +0300 (In reply to comment #5) > либо вообще > listen-on { 127.0.0.1; }; Без "allow-query { localhost; }; allow-recursion { localhost; };" велика вероятность, что listen-on закомментируют, и будет то же самое. Разве что, рядом ссылку разместить на http://www.us-cert.gov/ncas/alerts/TA13-088A с кратким пояснением. 159351 7 asy 2016-10-21 16:39:27 +0300 (In reply to comment #0) > allow-recursion { localnets; } Интересно... Напоминаю: в конфиге содержится вот такое: /* * Specifies which hosts are allowed to make recursive queries * through this server. If not specified, the default is to allow * recursive queries from all hosts. Note that disallowing recursive * queries for a host does not prevent the host from retrieving data * that is already in the server's cache. */ //allow-recursion { localnets; }; Сегодня поставил bind-9.9.8-alt4, и он не пускает по-умолчанию (скопировано из options.conf именно этого пакета). В какой-то момент умолчание поменяли ? Тогда комментарий уже не соответствует действительности, получается. 6177 2014-11-19 20:08:09 +0300 2014-11-19 20:08:09 +0300 Предлагаемый вариант bind.options.conf bind.options.conf application/octet-stream 2462 asy b3B0aW9ucyB7Cgl2ZXJzaW9uICJ1bmtub3duIjsKCWRpcmVjdG9yeSAiL3pvbmUiOwoJLyogCgkg KiBBTFQgTGludXg6IHRoaXMgcmVxdWlyZXMgd3JpdGUgcGVybWlzc2lvbiB0byAvc2Vzc2lvbi8K CSAqLwoJLy8gc2Vzc2lvbi1rZXlmaWxlICIvc2Vzc2lvbi9zZXNzaW9uLmtleSI7CglwaWQtZmls ZSAiIjsKCWR1bXAtZmlsZSAiL3Zhci9ydW4vbmFtZWRfZHVtcC5kYiI7CglzdGF0aXN0aWNzLWZp bGUgIi92YXIvcnVuL25hbWVkLnN0YXRzIjsKCXJlY3Vyc2luZy1maWxlICIvdmFyL3J1bi9yZWN1 cnNpbmciOwoKCS8qCgkgKiBPZnRlbmx5IHVzZWQgZGlyZWN0aXZlcyBhcmUgbGlzdGVkIGJlbG93 LgoJICovCgoJLyoKCSAqIEZvciB0aGUgbG9jYWxob3N0IGNvbmZpZ3VyYXRpb24sIHVuY29tbWVu dCB0aGUgbGlzdGVuLW9uIGRpcmVjdGl2ZQoJICogYmVsb3cuCgkgKi8KCS8vbGlzdGVuLW9uIHsg MTI3LjAuMC4xOyB9OwoKCS8qCgkgKiBJZiB0aGUgZm9yd2FyZCBkaXJlY3RpdmUgaXMgc2V0IHRv ICJvbmx5IiwgdGhlIHNlcnZlciB3aWxsIG9ubHkKCSAqIHF1ZXJ5IHRoZSBmb3J3YXJkZXJzLgoJ ICovCgkvL2ZvcndhcmQgb25seTsKCS8vZm9yd2FyZGVycyB7IH07CgoJLyoKCSAqIFNwZWNpZmll cyB3aGljaCBob3N0cyBhcmUgYWxsb3dlZCB0byBhc2sgb3JkaW5hcnkgcXVlc3Rpb25zLgoJICog WW91IHNob3VsZCBub3QgdXNlICJhbnkiIGlmIHlvdSBkbyBub3QgaGF2ZSBhIHB1YmxpYyB6b25l cwoJICogb24gdGhlIHNlcnZlci4KCSAqLwoJYWxsb3ctcXVlcnkgeyBsb2NhbG5ldHM7IH07CgoJ LyoKCSAqIFNwZWNpZmllcyB3aGljaCBob3N0cyBhcmUgYWxsb3dlZCB0byBtYWtlIHJlY3Vyc2l2 ZSBxdWVyaWVzCgkgKiB0aHJvdWdoIHRoaXMgc2VydmVyLiAgSWYgbm90IHNwZWNpZmllZCwgdGhl IGRlZmF1bHQgaXMgdG8gYWxsb3cKCSAqIHJlY3Vyc2l2ZSBxdWVyaWVzIGZyb20gYWxsIGhvc3Rz LiAgTm90ZSB0aGF0IGRpc2FsbG93aW5nIHJlY3Vyc2l2ZQoJICogcXVlcmllcyBmb3IgYSBob3N0 IGRvZXMgbm90IHByZXZlbnQgdGhlIGhvc3QgZnJvbSByZXRyaWV2aW5nIGRhdGEKCSAqIHRoYXQg aXMgYWxyZWFkeSBpbiB0aGUgc2VydmVyJ3MgY2FjaGUuCgkgKi8KCWFsbG93LXJlY3Vyc2lvbiB7 IGxvY2FsbmV0czsgfTsKCgkvKiBhbGxvdy1yZWN1cnNpb24gYW5kIGFsbG93LXF1ZXJ5LWNhY2hl IGRlZmF1bHQgdG8gYmVoYXZlIGxpa2UgZWFjaAoJICogb3RoZXIuIEluIG90aGVyIHdvcmRzLCBp ZiBvbmUgaXMgc2V0IGJ1dCBub3QgdGhlIG90aGVyLCB0aGUgYmVoYXZpb3IKCSAqIGlzIGFzIGlm IGJvdGggd2VyZSBzZXQgdG8gdGhlIHNhbWUgQUNMLiBUaGVyZWZvcmUsIHRoZXJlJ3MgYWxtb3N0 CgkgKiBuZXZlciBhbnkgcmVhc29uIHRvIHNldCBhbGxvdy1xdWVyeS1jYWNoZSAtIGp1c3QgdXNl IGFsbG93LXJlY3Vyc2lvbgoJICogZm9yIGJvdGgsIHVubGVzcyB5b3UgdHJ1bHkgaGF2ZSBhIHVz ZSBmb3IgYWxsb3dpbmcgc29tZW9uZSBhY2Nlc3MgdG8KCSAqIHRoZSBjYWNoZSB3aG8gZG9lcyBu b3QgYWxzbyBoYXZlIHBlcm1pc3Npb24gdG8gc2VuZCByZWN1cnNpdmUgcXVlcmllcwoJICogdG8g dGhlIHNlcnZlci4KCSAqLwoJLy9hbGxvdy1xdWVyeS1jYWNoZSB7IGxvY2FsbmV0czsgfTsKCgkv KgoJICogU2V0cyB0aGUgbWF4aW11bSB0aW1lIGZvciB3aGljaCB0aGUgc2VydmVyIHdpbGwgY2Fj aGUgb3JkaW5hcnkKCSAqIChwb3NpdGl2ZSkgYW5zd2Vycy4gIFRoZSBkZWZhdWx0IGlzIG9uZSB3 ZWVrICg3IGRheXMpLgoJICovCgkvL21heC1jYWNoZS10dGwgODY0MDA7CgoJLyoKCSAqIFRoZSBz ZXJ2ZXIgd2lsbCBzY2FuIHRoZSBuZXR3b3JrIGludGVyZmFjZSBsaXN0IGV2ZXJ5CgkgKiBpbnRl cmZhY2UtaW50ZXJ2YWwgbWludXRlcy4gIFRoZSBkZWZhdWx0IGlzIDYwIG1pbnV0ZXMuCgkgKiBJ ZiBzZXQgdG8gMCwgaW50ZXJmYWNlIHNjYW5uaW5nIHdpbGwgb25seSBvY2N1ciB3aGVuIHRoZQoJ ICogY29uZmlndXJhdGlvbiBmaWxlIGlzIGxvYWRlZC4gIEFmdGVyIHRoZSBzY2FuLCBsaXN0ZW5l cnMgd2lsbAoJICogYmUgc3RhcnRlZCBvbiBhbnkgbmV3IGludGVyZmFjZXMgKHByb3ZpZGVkIHRo ZXkgYXJlIGFsbG93ZWQgYnkKCSAqIHRoZSBsaXN0ZW4tb24gY29uZmlndXJhdGlvbikuICBMaXN0 ZW5lcnMgb24gaW50ZXJmYWNlcyB0aGF0CgkgKiBoYXZlIGdvbmUgYXdheSB3aWxsIGJlIGNsZWFu ZWQgdXAuCgkgKi8KCS8vaW50ZXJmYWNlLWludGVydmFsIDA7Cn07CgovL2FjbCBwcml2YXRlbmV0 c192NCB7IDEwLjAuMC4wLzg7IDEwMC42NC4wLjAvMTA7IDE3Mi4xNi4wLjAvMTI7IDE5Mi4xNjgu MC4wLzE2OyB9OwoKbG9nZ2luZyB7CgkvKgoJICogQUxUIExpbnV4OiBpZiBlbmFibGVkLCB0aGlz IGZpbGxzIGxvZyB1c2VsZXNzbHkKCSAqLwogICAgICAgIGNhdGVnb3J5IGxhbWUtc2VydmVycyB7 bnVsbDt9Owp9Owo=