Přihlášení | Registrace

napište » Zprávičky

Raspberry Pi Compute Module 4S s 2 GB, 4 GB a 8 GB paměti

dnes 13:44 | IT novinky

Oznámeny byly nové Raspberry Pi Compute Module 4S. Vedle původní 1 GB varianty jsou nově k dispozici také varianty s 2 GB, 4 GB a 8 GB paměti. Compute Modules 4S mají na rozdíl od Compute Module 4 tvar a velikost Compute Module 3+ a předchozích. Lze tak provést snadný upgrade.

Ladislav Hagara | Komentářů: 0

nginx 1.26.0

dnes 04:44 | Nová verze

Po roce vývoje od vydání verze 1.24.0 byla vydána nová stabilní verze 1.26.0 webového serveru a reverzní proxy nginx (Wikipedie). Nová verze přináší řadu novinek. Podrobný přehled v souboru CHANGES-1.26.

Ladislav Hagara | Komentářů: 0

Tails 6.2

dnes 04:33 | Nová verze

Byla vydána nová verze 6.2 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Přehled změn v příslušném seznamu. Tor Browser byl povýšen na verzi 13.0.14.

Ladislav Hagara | Komentářů: 0

Electron 30.0.0

dnes 04:22 | Nová verze

Byla vydána nová verze 30.0.0 frameworku pro vývoj multiplatformních desktopových aplikací pomocí JavaScriptu, HTML a CSS Electron (Wikipedie, GitHub). Chromium bylo aktualizováno na verzi 124.0.6367.49, V8 na verzi 12.4 a Node.js na verzi 20.11.1. Electron byl původně vyvíjen pro editor Atom pod názvem Atom Shell. Dnes je na Electronu postavena celá řada dalších aplikací.

Ladislav Hagara | Komentářů: 0

QEMU 9.0.0

dnes 04:11 | Nová verze

Byla vydána nová verze 9.0.0 otevřeného emulátoru procesorů a virtualizačního nástroje QEMU (Wikipedie). Přispělo 220 vývojářů. Provedeno bylo více než 2 700 commitů. Přehled úprav a nových vlastností v seznamu změn.

Ladislav Hagara | Komentářů: 0

Evropský parlament: Právo na opravu

včera 23:22 | IT novinky

Evropský parlament dnes přijal směrnici týkající se tzv. práva spotřebitele na opravu. Poslanci ji podpořili 584 hlasy (3 bylo proti a 14 se zdrželo hlasování). Směrnice ujasňuje povinnosti výrobců opravovat zboží a motivovat spotřebitele k tomu, aby si výrobky nechávali opravit a prodloužili tak jejich životnost.

Ladislav Hagara | Komentářů: 2

Fedora Linux 40 a Slimbook Fedora 2

včera 16:11 | Nová verze

Bylo oznámeno (cs) vydání Fedora Linuxu 40. Přehled novinek ve Fedora Workstation 40 a Fedora KDE 40 na stránkách Fedora Magazinu. Současně byl oznámen notebook Slimbook Fedora 2.

Ladislav Hagara | Komentářů: 14

Smyšlené texty na ČTK

včera 13:44 | Upozornění

ČTK (Česká tisková kancelář) upozorňuje (X), že na jejím zpravodajském webu České noviny byly dnes dopoledne neznámým útočníkem umístěny dva smyšlené texty, které nepocházejí z její produkce. Jde o text s titulkem „BIS zabránila pokusu o atentát na nově zvoleného slovenského prezidenta Petra Pelligriniho“ a o údajné mimořádné prohlášení ministra Lipavského k témuž. Tyto dezinformace byly útočníky zveřejněny i s příslušnými notifikacemi v mobilní aplikaci Českých novin. ČTK ve svém zpravodajském servisu žádnou informaci v tomto znění nevydala.

Ladislav Hagara | Komentářů: 25

Open Home Foundation

včera 13:33 | Komunita

Byla založena nadace Open Home Foundation zastřešující více než 240 projektů, standardů, ovladačů a knihoven (Home Assistant, ESPHome, Zigpy, Piper, Improv Wi-Fi, Wyoming, …) pro otevřenou chytrou domácnost s důrazem na soukromí, možnost výběru a udržitelnost.

Ladislav Hagara | Komentářů: 0

Meta Horizon OS

včera 13:00 | Nová verze

Společnost Meta otevírá svůj operační systém Meta Horizon OS pro headsety pro virtuální a rozšířenou realitu. Vedle Meta Quest se bude používat i v připravovaných headsetech od Asusu a Lenova.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

KDE Plasma 6

už používám (72%)

čekám, až se dostane do mé distibuce (9%)

čekám na pozdější vydání v řadě (2%)

preferuji jiné desktopové prostředí (17%)

Celkem 708 hlasů

Komentářů: 4, poslední 6.4. 15:51

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Zabezpecenie DNS

Štítky: ACL, cat, DNS, chyba, Internet, mail, named, open, server

Dotaz: Zabezpecenie DNS

12.11.2014 11:33 trittler
Zabezpecenie DNS

Přečteno: 382×

Odpovědět | Admin

Zdravim, mam bind9 server + verejna staticka IP. Dnes som si vsimol tohoto :

root@mail:~# tail -f /var/log/syslog
Nov 12 11:23:14 mail named[16894]: client 68.2.181.144#57619: query (cache) 'sema.cz/ANY/IN' denied

Tie zaznamy sa stale opakuju

root@mail:~# tail -f /var/log/query.log 
client 68.2.181.144#26821: query: sema.cz IN ANY +E (192.168.0.31)

Chcem len vediet ci to mam dobre zabezpecene, alebo nieco mi tam este chyba. Na nete som asi nieco ako open dns, ale to moc nechcem.

Konfiguraky: named.conf

root@mail:~# cat /etc/bind/named.conf
include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
include "/etc/bind/named.conf.default-zones";
include "/etc/bind/rndc.key";

controls {
        inet 127.0.0.1 allow { localhost; } keys { "rndc-key"; };
};
trusted-keys {
	dlv.isc.org. 257 3 5 "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";
	};

named.conf.local

root@mail:~# cat /etc/bind/named.conf.local 
logging {
    channel query.log {
        file "/var/log/query.log";
        // Set the severity to dynamic to see all the debug messages.
        severity debug 3;
    };
    category queries { query.log; };
};

+ Zonove zaznamy

named.conf.options

root@mail:~# cat /etc/bind/named.conf.options
acl "allowed" {
	192.168.5.0/24;
	192.168.10.0/24;
	localhost;
	localnets;
};
options {
	directory "/var/cache/bind";
	allow-query { any; };
	allow-recursion { allowed; };
	allow-query-cache { allowed; };

  		forwarders {
		8.8.8.8;
		8.8.4.4;
		195.210.29.64;
		};
	rate-limit {
    		responses-per-second 5;
  	          };	       
	forward only;
	dnssec-enable yes;
	dnssec-validation yes;
	dnssec-lookaside auto;	
	also-notify {};
	fetch-glue no;
};

Nástroje: Začni sledovat (1) ?

Odpovědi

12.11.2014 11:37 trittler
Rozbalit Rozbalit vše Re: Zabezpecenie DNS

log pocas jednej sekundy

root@mail:~# time tail -f /var/log/query.log 
client 221.229.162.197#30569: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#30569: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#6948: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#6948: drop REFUSED response to 221.229.162.0/24
client 221.229.162.197#1216: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#1216: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#45720: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#45720: drop REFUSED response to 221.229.162.0/24
client 221.229.162.197#11571: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#11571: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#1768: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#1768: drop REFUSED response to 221.229.162.0/24
client 80.250.115.133#22297: query: wradish.com IN ANY +E (192.168.0.31)
client 80.250.115.133#22297: drop REFUSED response to 80.250.115.0/24
client 80.250.115.133#58805: query: wradish.com IN ANY +E (192.168.0.31)
client 80.250.115.133#58805: slip REFUSED response to 80.250.115.0/24
client 221.229.162.197#17687: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#17687: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#3585: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#3585: drop REFUSED response to 221.229.162.0/24
client 80.250.115.133#16553: query: wradish.com IN ANY +E (192.168.0.31)
client 80.250.115.133#16553: drop REFUSED response to 80.250.115.0/24
client 221.229.162.197#9780: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#9780: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#49030: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#49030: drop REFUSED response to 221.229.162.0/24
client 221.229.162.197#4523: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#4523: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#63228: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#63228: drop REFUSED response to 221.229.162.0/24
client 221.229.162.197#29943: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#29943: slip REFUSED response to 221.229.162.0/24
client 80.250.115.133#2142: query: wradish.com IN ANY +E (192.168.0.31)
client 80.250.115.133#2142: slip REFUSED response to 80.250.115.0/24
client 221.229.162.197#12853: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#12853: drop REFUSED response to 221.229.162.0/24
client 221.229.162.197#18454: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#18454: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#12803: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#12803: drop REFUSED response to 221.229.162.0/24
client 221.229.162.197#11976: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#11976: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#42548: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#42548: drop REFUSED response to 221.229.162.0/24
client 80.250.115.133#27375: query: wradish.com IN ANY +E (192.168.0.31)
client 80.250.115.133#27375: drop REFUSED response to 80.250.115.0/24
client 221.229.162.197#17555: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#17555: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#46601: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#46601: drop REFUSED response to 221.229.162.0/24
client 221.229.162.197#51315: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#51315: slip REFUSED response to 221.229.162.0/24
client 80.250.115.133#48420: query: wradish.com IN ANY +E (192.168.0.31)
client 80.250.115.133#48420: slip REFUSED response to 80.250.115.0/24
client 221.229.162.197#33798: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#33798: drop REFUSED response to 221.229.162.0/24
client 80.250.115.133#3435: query: wradish.com IN ANY +E (192.168.0.31)
client 80.250.115.133#3435: drop REFUSED response to 80.250.115.0/24
client 221.229.162.197#58059: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#58059: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#62829: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#62829: drop REFUSED response to 221.229.162.0/24
client 221.229.162.197#25584: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#25584: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#32870: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#32870: drop REFUSED response to 221.229.162.0/24
client 221.229.162.197#64117: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#64117: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#21581: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#21581: drop REFUSED response to 221.229.162.0/24
client 80.250.115.133#48471: query: wradish.com IN ANY +E (192.168.0.31)
client 80.250.115.133#48471: slip REFUSED response to 80.250.115.0/24
client 221.229.162.197#39125: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#39125: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#64811: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#64811: drop REFUSED response to 221.229.162.0/24
client 80.250.115.133#50582: query: wradish.com IN ANY +E (192.168.0.31)
client 80.250.115.133#50582: drop REFUSED response to 80.250.115.0/24
client 221.229.162.197#2589: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#2589: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#42520: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#42520: drop REFUSED response to 221.229.162.0/24
client 221.229.162.197#14914: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#14914: slip REFUSED response to 221.229.162.0/24
client 80.250.115.133#19227: query: wradish.com IN ANY +E (192.168.0.31)
client 80.250.115.133#19227: slip REFUSED response to 80.250.115.0/24
client 221.229.162.197#6794: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#6794: drop REFUSED response to 221.229.162.0/24
client 221.229.162.197#57811: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#57811: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#46059: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#46059: drop REFUSED response to 221.229.162.0/24
client 221.229.162.197#7354: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#7354: slip REFUSED response to 221.229.162.0/24


real	0m1.260s
user	0m0.004s
sys	0m0.000s

12.11.2014 15:29 Andrej | skóre: 51 | blog: Republic of Mordor
Rozbalit Rozbalit vše Re: Zabezpecenie DNS

Nevidím tam nikde DNSSEC, takže to máš naprosto nezabezpečené.

12.11.2014 22:05 NN
Rozbalit Rozbalit vše Re: Zabezpecenie DNS

Jako zarazejici vidim v acl parametr localnets, ktery povoluje resolving pro vsechny site na stroji vcetne verejne, to v kombinaci s otevrenym nastavenim allow-query, allow-recursion defacto povoluje vsechno vsem. Takze je otazka k cemu vlastne tento resolver slouzi a nedivil bych se, kdyby se ho nekdo nepokusil zneuzit. Viz dolozeny pokus pravdepodobne o DNS amplification utok. Mohl by jsi odchytit, kolik toho priblizne prochazi? Neni mozne, se server uz nestiha odpovidat?

13.11.2014 10:31 j
Rozbalit Rozbalit vše Re: Zabezpecenie DNS

Ta verejna sit bude tak maximaplne jedno Ccko, ostatne v logu je videt, ze DNS odmita preklad. A pokud na nem bezi nejaka vlastni domena, tak stim stejne nic jinyho neudelas. Jedine nasadit nejakej script, kterej bude vyhodnocovat opakovany rejecty v logu a nasledne blokne prislusnou adresu/rozsah na firewallu.

Pokud to ma fungovat jako DNS cache, tak jednoduse na firewallu odstrelit (drop) vse, co prichazi zvenku.

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje