Топовые новости
Новое

Управление запросами

Управление запросамиКак уже упоминалось, большинство серверов будет выполнять преобразование имен рекурсивно для любых получаемых ими запросов, до тех пор пока они не будут специально сконфигурированы, чтобы не делать этого. Из-за повторяющейся выборки данных из ряда неизвестных и не заслуживающих доверия серверов имен, рекурсия делает вашу инсталляцию уязвимой для DNS poisoning. Другими словами, вы сознательно или бессознательно получаете неверные списки. Этой проблемы можно избежать при помощи четкого отрицания рекурсии.

Рекурсивные запросы могут быть отключены путем добавления оператора recursion no в секцию options файла named. conf. Однако было бы по-прежнему желательно разрешить рекурсивные запросы от некоторых пользующихся доверием хостов. И этого можно добиться с помощью оператора allow-recursion. Данный оператор позволяет сконфигурировать named таким образом, чтобы запретить рекурсию для всех хостов, за исключением перечисленных: Вы можете выбрать еще более жесткие ограничения и разрешить посылку запросов к вашему серверу имен лишь с указанных хостов. Для этого нужно использовать оператор allow-query. Конечно, данное решение не будет работать, если ваш сервер является авторитетным для зоны. В этом случае вы будете явно иметь запись allow-query { all; } в конфигурационной секции каждой зоны, для которой желаете обслуживать авторитетные данные. Вы также можете использовать запросы, чтобы разрешать только известным вторичным серверам затребовать передачу зоны с вашего сервера. Передача зоны не только потребляет большие ресурсы и создает почву для атак типа отказ в обслуживании. Возникают бреши в системе безопасности из-за переполнения буферов в named-xfer, что дает злоумышленникам возможность получить права доступа root. Для предотвращения этого добавьте секции, подобные той, которая следует далее, ко всем вашим определениям зон:

Галерея
8845 9566 9710 12874 13267 36053
Интересные записи
Рубрики