Защита BIND

Заблокируйте установку BIND, чтобы избежать потенциальных проблем безопасности. Из-за того что BIND не слишком преуспела в обеспечении безопасности, при ее использовании вам, вероятно, придется приложить немало усилий для соответствующей настройки. Один из способовсделать работу BIND несколько безопасней — это запустить ее в среде «песочницы»1. Это очень просто реализуется с последними версиями BIND, поскольку они изначально поддерживают запуск непривилегированным пользователем с помощью команды chroot(). Все, что необходимо сделать, — это настроить каталог, который предполагается использовать в chrootO, а затем изменить команду, используемую для запуска группы named, от имени которой будет осуществляться запуск. Для начала создайте пользователя и группу, от имени которой будет осуществляться запуск (то есть named). Для подготовки среды «песочницы» необходимо создать соответствующую структуру каталогов.

На заметку: Если Вы не знаете где в сети интернет можно приобрести эллиптический тренажер, тогда рекомендуем обратить внимание на сайт http://shop-tren.ru.

Если вы не хотите глобально ограничивать зональные переносы и вместо этого хотите указать узлы, на которые разрешен перенос по принципу «зона на зону», поместите раздел разрешения переноса (allow-transfer section) внутри раздела зон (zone section). Перед тем как попытаться воспользоваться уязвимостью BIND, атакующий сначала уточняет версию BIND, подключившись к серверам имен и выполнив запрос версии.

Поскольку вам никогда не приходится запрашивать версию у сервера имен, то можно изменить отклик, посылаемый запрашивающему. Для этого добавьте значение версии в раздел параметров (options section) файла named.conf, например: version «SuperHappy DNS vl.5»; Обратите внимание на то, что на самом деле это не обеспечивает дополнительную безопасность, но если вы хотите рекламировать на весь мир используемое программное обеспечение, то можете не пользоваться данной технологией.

источник: Локхарт Э. Антихакинг в сети. Трюки.


Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *