abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Firefox 145.0
    dnes 16:44 | Nová verze

    Byl vydán Mozilla Firefox 145.0. Přehled novinek v poznámkách k vydání a poznámkách k vydání pro vývojáře. Ukončena byla podpora 32bitového Firefoxu pro Linux. Přidána byla podpora Matrosky. Řešeny jsou rovněž bezpečnostní chyby. Nový Firefox 145 bude brzy k dispozici také na Flathubu a Snapcraftu.

    Ladislav Hagara | Komentářů: 0
    Lidé.cz jsou zpět jako sociální síť
    dnes 13:33 | IT novinky

    Lidé.cz (Wikipedie) jsou zpět jako sociální síť s "ambicí stát se místem pro kultivované debaty a bezpečným online prostředím".

    Ladislav Hagara | Komentářů: 33
    Lazarus 4.4
    dnes 10:33 | Nová verze

    Byla vydána nová verze 4.4 multiplatformního integrovaného vývojového prostředí (IDE) pro rychlý vývoj aplikaci (RAD) ve Free Pascalu Lazarus (Wikipedie). Využíván je Free Pascal Compiler (FPC) 3.2.2.

    Ladislav Hagara | Komentářů: 0
    ASUS Ascent GX10
    dnes 04:00 | IT novinky

    ASUS má v nabídce komplexní řešení pro vývoj a nasazení AI: kompaktní stolní AI superpočítač ASUS Ascent GX10 poháněný superčipem NVIDIA GB10 Grace Blackwell a platformou NVIDIA DGX Spark. S operačním systémem NVIDIA DGX založeném na Ubuntu.

    Ladislav Hagara | Komentářů: 3
    TDE R14.1.5
    dnes 03:11 | Nová verze

    Desktopové prostredie Trinity Desktop vyšlo vo verzii R14.1.5. Je tu opravená chyba v tqt komponente spôsobujúca 100% vyťaženie cpu, dlaždice pre viac monitorov a nemenej dôležité su dizajnové zmeny v podobe ikon, pozadí atď. Pridaná bola podpora distribúcií Debian Trixie, Ubuntu Questing, RHEL 10 a OpenSUSE Leap 16.

    lukve | Komentářů: 8
    Easy Effects 8.0.0
    včera 22:11 | Nová verze

    Grafická aplikace Easy Effects (Flathub), původně PulseEffects, umožňující snadno povolovat a zakazovat různé audio efekty v aplikacích používajících multimediální server PipeWire, byla vydána ve verzi 8.0.0. Místo GTK 4 je nově postavená nad Qt, QML a Kirigami.

    Ladislav Hagara | Komentářů: 0
    Godot Engine – 2025 Showreel
    včera 12:22 | Komunita

    Na YouTube lze zhlédnout Godot Engine – 2025 Showreel s ukázkami toho nejlepšího letos vytvořeného v multiplatformním open source herním enginu Godot.

    Ladislav Hagara | Komentářů: 0
    Slova roku 2025: vibe coding, 6-7, …
    včera 10:00 | Humor

    Blíží se konec roku a tím i všemožná vyhlášení slov roku 2025. Dle Collins English Dictionary je slovem roku vibe coding, dle Dictionary.com je to 6-7, …

    Ladislav Hagara | Komentářů: 6
    Cloudflare Radar: podíl Linuxu na desktopu dosáhl v listopadu 6,2 %
    včera 09:55 | IT novinky

    Cloudflare Radar: podíl Linuxu na desktopu dosáhl v listopadu 6,2 %.

    Ladislav Hagara | Komentářů: 4
    Virtuální Bastlírna vol. 56: Už jste si objednali novou tiskárnu?
    9.11. 19:22 | Pozvánky

    Chcete vědět, co se odehrálo ve světě techniky za poslední měsíc? Nebo si popovídat o tom, co zrovna bastlíte? Pak doražte na listopadovou Virtuální Bastlírnu s mikrofonem a kamerou, nalijte si něco k pití a ponořte se s strahovskými bastlíři do diskuze u virtuálního piva o technice i všem možném okolo. Mezi nejvýznamnější novinky patří Průšovo oznámení Core One L, zavedení RFID na filamentech, tisk silikonu nebo nový slicer. Dozvíte se ale i

    … více »
    bkralik | Komentářů: 6
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaké řešení používáte k vývoji / práci?
     (35%)
     (47%)
     (18%)
     (17%)
     (23%)
     (15%)
     (22%)
     (16%)
     (16%)
    Celkem 341 hlasů
     Komentářů: 15, poslední 2.11. 08:25
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Zabezpecenie DNS
    Štítky: ACL, cat, DNS, chyba, Internet, mail, named, open, server

    Dotaz: Zabezpecenie DNS

    12.11.2014 11:33 trittler
    Zabezpecenie DNS
    Přečteno: 422×
    Zdravim, mam bind9 server + verejna staticka IP. Dnes som si vsimol tohoto : 
    root@mail:~# tail -f /var/log/syslog
Nov 12 11:23:14 mail named[16894]: client 68.2.181.144#57619: query (cache) 'sema.cz/ANY/IN' denied
    Tie zaznamy sa stale opakuju 
    root@mail:~# tail -f /var/log/query.log 
client 68.2.181.144#26821: query: sema.cz IN ANY +E (192.168.0.31)
    Chcem len vediet ci to mam dobre zabezpecene, alebo nieco mi tam este chyba. Na nete som asi nieco ako open dns, ale to moc nechcem.

    Konfiguraky: named.conf 
    root@mail:~# cat /etc/bind/named.conf
include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
include "/etc/bind/named.conf.default-zones";
include "/etc/bind/rndc.key";

controls {
        inet 127.0.0.1 allow { localhost; } keys { "rndc-key"; };
};
trusted-keys {
	dlv.isc.org. 257 3 5 "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";
	};
    named.conf.local 
    root@mail:~# cat /etc/bind/named.conf.local 
logging {
    channel query.log {
        file "/var/log/query.log";
        // Set the severity to dynamic to see all the debug messages.
        severity debug 3;
    };
    category queries { query.log; };
};

+ Zonove zaznamy
    named.conf.options 
    root@mail:~# cat /etc/bind/named.conf.options
acl "allowed" {
	192.168.5.0/24;
	192.168.10.0/24;
	localhost;
	localnets;
};
options {
	directory "/var/cache/bind";
	allow-query { any; };
	allow-recursion { allowed; };
	allow-query-cache { allowed; };

  		forwarders {
		8.8.8.8;
		8.8.4.4;
		195.210.29.64;
		};
	rate-limit {
    		responses-per-second 5;
  	          };	       
	forward only;
	dnssec-enable yes;
	dnssec-validation yes;
	dnssec-lookaside auto;	
	also-notify {};
	fetch-glue no;
};
    Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    12.11.2014 11:37 trittler
    Rozbalit Rozbalit vše Re: Zabezpecenie DNS
    log pocas jednej sekundy 
    root@mail:~# time tail -f /var/log/query.log 
client 221.229.162.197#30569: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#30569: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#6948: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#6948: drop REFUSED response to 221.229.162.0/24
client 221.229.162.197#1216: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#1216: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#45720: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#45720: drop REFUSED response to 221.229.162.0/24
client 221.229.162.197#11571: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#11571: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#1768: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#1768: drop REFUSED response to 221.229.162.0/24
client 80.250.115.133#22297: query: wradish.com IN ANY +E (192.168.0.31)
client 80.250.115.133#22297: drop REFUSED response to 80.250.115.0/24
client 80.250.115.133#58805: query: wradish.com IN ANY +E (192.168.0.31)
client 80.250.115.133#58805: slip REFUSED response to 80.250.115.0/24
client 221.229.162.197#17687: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#17687: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#3585: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#3585: drop REFUSED response to 221.229.162.0/24
client 80.250.115.133#16553: query: wradish.com IN ANY +E (192.168.0.31)
client 80.250.115.133#16553: drop REFUSED response to 80.250.115.0/24
client 221.229.162.197#9780: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#9780: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#49030: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#49030: drop REFUSED response to 221.229.162.0/24
client 221.229.162.197#4523: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#4523: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#63228: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#63228: drop REFUSED response to 221.229.162.0/24
client 221.229.162.197#29943: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#29943: slip REFUSED response to 221.229.162.0/24
client 80.250.115.133#2142: query: wradish.com IN ANY +E (192.168.0.31)
client 80.250.115.133#2142: slip REFUSED response to 80.250.115.0/24
client 221.229.162.197#12853: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#12853: drop REFUSED response to 221.229.162.0/24
client 221.229.162.197#18454: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#18454: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#12803: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#12803: drop REFUSED response to 221.229.162.0/24
client 221.229.162.197#11976: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#11976: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#42548: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#42548: drop REFUSED response to 221.229.162.0/24
client 80.250.115.133#27375: query: wradish.com IN ANY +E (192.168.0.31)
client 80.250.115.133#27375: drop REFUSED response to 80.250.115.0/24
client 221.229.162.197#17555: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#17555: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#46601: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#46601: drop REFUSED response to 221.229.162.0/24
client 221.229.162.197#51315: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#51315: slip REFUSED response to 221.229.162.0/24
client 80.250.115.133#48420: query: wradish.com IN ANY +E (192.168.0.31)
client 80.250.115.133#48420: slip REFUSED response to 80.250.115.0/24
client 221.229.162.197#33798: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#33798: drop REFUSED response to 221.229.162.0/24
client 80.250.115.133#3435: query: wradish.com IN ANY +E (192.168.0.31)
client 80.250.115.133#3435: drop REFUSED response to 80.250.115.0/24
client 221.229.162.197#58059: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#58059: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#62829: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#62829: drop REFUSED response to 221.229.162.0/24
client 221.229.162.197#25584: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#25584: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#32870: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#32870: drop REFUSED response to 221.229.162.0/24
client 221.229.162.197#64117: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#64117: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#21581: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#21581: drop REFUSED response to 221.229.162.0/24
client 80.250.115.133#48471: query: wradish.com IN ANY +E (192.168.0.31)
client 80.250.115.133#48471: slip REFUSED response to 80.250.115.0/24
client 221.229.162.197#39125: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#39125: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#64811: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#64811: drop REFUSED response to 221.229.162.0/24
client 80.250.115.133#50582: query: wradish.com IN ANY +E (192.168.0.31)
client 80.250.115.133#50582: drop REFUSED response to 80.250.115.0/24
client 221.229.162.197#2589: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#2589: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#42520: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#42520: drop REFUSED response to 221.229.162.0/24
client 221.229.162.197#14914: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#14914: slip REFUSED response to 221.229.162.0/24
client 80.250.115.133#19227: query: wradish.com IN ANY +E (192.168.0.31)
client 80.250.115.133#19227: slip REFUSED response to 80.250.115.0/24
client 221.229.162.197#6794: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#6794: drop REFUSED response to 221.229.162.0/24
client 221.229.162.197#57811: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#57811: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#46059: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#46059: drop REFUSED response to 221.229.162.0/24
client 221.229.162.197#7354: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#7354: slip REFUSED response to 221.229.162.0/24


real	0m1.260s
user	0m0.004s
sys	0m0.000s
    12.11.2014 15:29 Andrej | skóre: 51 | blog: Republic of Mordor
    Rozbalit Rozbalit vše Re: Zabezpecenie DNS

    Nevidím tam nikde DNSSEC, takže to máš naprosto nezabezpečené.

    12.11.2014 22:05 NN
    Rozbalit Rozbalit vše Re: Zabezpecenie DNS
    Jako zarazejici vidim v acl parametr localnets, ktery povoluje resolving pro vsechny site na stroji vcetne verejne, to v kombinaci s otevrenym nastavenim allow-query, allow-recursion defacto povoluje vsechno vsem. Takze je otazka k cemu vlastne tento resolver slouzi a nedivil bych se, kdyby se ho nekdo nepokusil zneuzit. Viz dolozeny pokus pravdepodobne o DNS amplification utok. Mohl by jsi odchytit, kolik toho priblizne prochazi? Neni mozne, se server uz nestiha odpovidat?
    13.11.2014 10:31 j
    Rozbalit Rozbalit vše Re: Zabezpecenie DNS
    Ta verejna sit bude tak maximaplne jedno Ccko, ostatne v logu je videt, ze DNS odmita preklad. A pokud na nem bezi nejaka vlastni domena, tak stim stejne nic jinyho neudelas. Jedine nasadit nejakej script, kterej bude vyhodnocovat opakovany rejecty v logu a nasledne blokne prislusnou adresu/rozsah na firewallu.

    Pokud to ma fungovat jako DNS cache, tak jednoduse na firewallu odstrelit (drop) vse, co prichazi zvenku.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.