Přihlášení | Registrace

napište » Zprávičky

Krython, interaktivní aplikace určená k výuce základů programování v jazyce Python verze 3

dnes 09:00 | Zajímavý projekt

Krython je interaktivní aplikace určená k výuce základů programování v jazyce Python verze 3. Její název je složeninou slova Python a jména androida z britského sci-fi sitcomu Červený trpaslík - Kryton. Kryton tě provede všemi úkoly. Až se ti podaří je splnit, získáš diplom.

Ladislav Hagara | Komentářů: 0

Vivaldi 4.1

dnes 08:00 | Nová verze

Byla vydána nová stabilní verze 4.1 (4.1.2369.11) webového prohlížeče Vivaldi (Wikipedie). Přehled novinek v příspěvku na blogu. Zdůrazněn je nový typ seskupování listů s názvem Akordeon (YouTube) a Řetězce příkazů (YouTube). Nejnovější Vivaldi je postaven na Chromiu 92.0.4515.126.

Ladislav Hagara | Komentářů: 0

OPNsense 21.7 Noble Nightingale

dnes 02:44 | Nová verze

Byla vydána nová verze 21.7 open source firewallové a routovací platformy OPNsense (Wikipedie). Jedná se o fork pfSense postavený na HardenedBSD, od příští verze 22.1 na FreeBSD. Kódový název OPNsense 21.7 je Noble Nightingale. Přehled novinek v příspěvku na blogu.

Ladislav Hagara | Komentářů: 0

Orbiter Space Flight Simulator je open source

včera 21:00 | Zajímavý software

Orbiter Space Flight Simulator (Wikipedie), počítačový simulátor vesmírných letů, je nově open source software. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.

Ladislav Hagara | Komentářů: 1

FreeRDP 2.4.0

včera 17:33 | Nová verze

Byla vydána nová verze 2.4.0 svobodné implementace protokolu RDP (Remote Desktop Protocol) a RDP klienta FreeRDP. Přehled novinek v Changelogu nebo v GitHub Milestones. Zdůraznit lze vícevláknové dekódování. Opraveny byly dvě bezpečnostní chyby.

Ladislav Hagara | Komentářů: 1

Sweet Home 3D 6.6

včera 15:33 | Nová verze

Byla vydána nová verze 6.6 v Javě napsané aplikace pro komplexní návrh rozmístění nábytku a dalšího vybavení v interiérech Sweet Home 3D. Vyzkoušet lze online verzi.

Ladislav Hagara | Komentářů: 0

PulseAudio 15.0

včera 08:00 | Nová verze

Po půl roce od vydání verze 14.0 byla vydána nová verze 15.0 zvukového serveru PulseAudio (Wikipedie). Přehled novinek v poznámkách k vydání. V některých distribucích, například Fedora 34, byl zvukový server PulseAudio nahrazen novým multimediálním serverem PipeWire (Wikipedie).

Ladislav Hagara | Komentářů: 2

Projekt Pyrrha, IoT platforma pro monitorování a ochranu života a zdraví hasičů

včera 07:00 | Zajímavý projekt

Konsorcium Linux Foundation představilo open source projekt Pyrrha, původně Prometeo. Jedná se o IoT platformu pro monitorování a ochranu života a zdraví hasičů. Představení na YouTube. Zdrojové kódy i návrhy a firmwary hardwarových senzorů jsou k dispozici na GitHubu.

Ladislav Hagara | Komentářů: 4

Apache Cassandra 4.0

27.7. 20:44 | Nová verze

Apache Cassandra (Wikipedie), tj. open source NoSQL distribuovaná databáze, byla po šesti letech vydána v nové major verzi 4.0. Přehled novinek v příspěvku na blogu a na YouTube.

Ladislav Hagara | Komentářů: 2

WebHero | Hra pro webové nadšence

27.7. 19:33 | Zajímavý projekt

WebHero je hra pro webové nadšence. V každém levelu čeká jeden úkol spojený s webovými technologiemi.

Ladislav Hagara | Komentářů: 11

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 70, poslední včera 15:20

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Zabezpecenie DNS

Štítky: ACL, cat, DNS, chyba, Internet, mail, named, open, server

Dotaz: Zabezpecenie DNS

12.11.2014 11:33 trittler
Zabezpecenie DNS

Přečteno: 366×

Odpovědět | Admin

Zdravim, mam bind9 server + verejna staticka IP. Dnes som si vsimol tohoto :

root@mail:~# tail -f /var/log/syslog
Nov 12 11:23:14 mail named[16894]: client 68.2.181.144#57619: query (cache) 'sema.cz/ANY/IN' denied

Tie zaznamy sa stale opakuju

root@mail:~# tail -f /var/log/query.log 
client 68.2.181.144#26821: query: sema.cz IN ANY +E (192.168.0.31)

Chcem len vediet ci to mam dobre zabezpecene, alebo nieco mi tam este chyba. Na nete som asi nieco ako open dns, ale to moc nechcem.

Konfiguraky: named.conf

root@mail:~# cat /etc/bind/named.conf
include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
include "/etc/bind/named.conf.default-zones";
include "/etc/bind/rndc.key";

controls {
        inet 127.0.0.1 allow { localhost; } keys { "rndc-key"; };
};
trusted-keys {
	dlv.isc.org. 257 3 5 "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";
	};

named.conf.local

root@mail:~# cat /etc/bind/named.conf.local 
logging {
    channel query.log {
        file "/var/log/query.log";
        // Set the severity to dynamic to see all the debug messages.
        severity debug 3;
    };
    category queries { query.log; };
};

+ Zonove zaznamy

named.conf.options

root@mail:~# cat /etc/bind/named.conf.options
acl "allowed" {
	192.168.5.0/24;
	192.168.10.0/24;
	localhost;
	localnets;
};
options {
	directory "/var/cache/bind";
	allow-query { any; };
	allow-recursion { allowed; };
	allow-query-cache { allowed; };

  		forwarders {
		8.8.8.8;
		8.8.4.4;
		195.210.29.64;
		};
	rate-limit {
    		responses-per-second 5;
  	          };	       
	forward only;
	dnssec-enable yes;
	dnssec-validation yes;
	dnssec-lookaside auto;	
	also-notify {};
	fetch-glue no;
};

Nástroje: Začni sledovat (1) ?

Odpovědi

12.11.2014 11:37 trittler
Rozbalit Rozbalit vše Re: Zabezpecenie DNS

log pocas jednej sekundy

root@mail:~# time tail -f /var/log/query.log 
client 221.229.162.197#30569: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#30569: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#6948: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#6948: drop REFUSED response to 221.229.162.0/24
client 221.229.162.197#1216: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#1216: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#45720: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#45720: drop REFUSED response to 221.229.162.0/24
client 221.229.162.197#11571: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#11571: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#1768: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#1768: drop REFUSED response to 221.229.162.0/24
client 80.250.115.133#22297: query: wradish.com IN ANY +E (192.168.0.31)
client 80.250.115.133#22297: drop REFUSED response to 80.250.115.0/24
client 80.250.115.133#58805: query: wradish.com IN ANY +E (192.168.0.31)
client 80.250.115.133#58805: slip REFUSED response to 80.250.115.0/24
client 221.229.162.197#17687: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#17687: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#3585: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#3585: drop REFUSED response to 221.229.162.0/24
client 80.250.115.133#16553: query: wradish.com IN ANY +E (192.168.0.31)
client 80.250.115.133#16553: drop REFUSED response to 80.250.115.0/24
client 221.229.162.197#9780: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#9780: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#49030: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#49030: drop REFUSED response to 221.229.162.0/24
client 221.229.162.197#4523: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#4523: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#63228: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#63228: drop REFUSED response to 221.229.162.0/24
client 221.229.162.197#29943: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#29943: slip REFUSED response to 221.229.162.0/24
client 80.250.115.133#2142: query: wradish.com IN ANY +E (192.168.0.31)
client 80.250.115.133#2142: slip REFUSED response to 80.250.115.0/24
client 221.229.162.197#12853: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#12853: drop REFUSED response to 221.229.162.0/24
client 221.229.162.197#18454: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#18454: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#12803: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#12803: drop REFUSED response to 221.229.162.0/24
client 221.229.162.197#11976: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#11976: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#42548: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#42548: drop REFUSED response to 221.229.162.0/24
client 80.250.115.133#27375: query: wradish.com IN ANY +E (192.168.0.31)
client 80.250.115.133#27375: drop REFUSED response to 80.250.115.0/24
client 221.229.162.197#17555: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#17555: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#46601: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#46601: drop REFUSED response to 221.229.162.0/24
client 221.229.162.197#51315: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#51315: slip REFUSED response to 221.229.162.0/24
client 80.250.115.133#48420: query: wradish.com IN ANY +E (192.168.0.31)
client 80.250.115.133#48420: slip REFUSED response to 80.250.115.0/24
client 221.229.162.197#33798: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#33798: drop REFUSED response to 221.229.162.0/24
client 80.250.115.133#3435: query: wradish.com IN ANY +E (192.168.0.31)
client 80.250.115.133#3435: drop REFUSED response to 80.250.115.0/24
client 221.229.162.197#58059: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#58059: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#62829: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#62829: drop REFUSED response to 221.229.162.0/24
client 221.229.162.197#25584: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#25584: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#32870: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#32870: drop REFUSED response to 221.229.162.0/24
client 221.229.162.197#64117: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#64117: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#21581: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#21581: drop REFUSED response to 221.229.162.0/24
client 80.250.115.133#48471: query: wradish.com IN ANY +E (192.168.0.31)
client 80.250.115.133#48471: slip REFUSED response to 80.250.115.0/24
client 221.229.162.197#39125: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#39125: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#64811: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#64811: drop REFUSED response to 221.229.162.0/24
client 80.250.115.133#50582: query: wradish.com IN ANY +E (192.168.0.31)
client 80.250.115.133#50582: drop REFUSED response to 80.250.115.0/24
client 221.229.162.197#2589: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#2589: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#42520: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#42520: drop REFUSED response to 221.229.162.0/24
client 221.229.162.197#14914: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#14914: slip REFUSED response to 221.229.162.0/24
client 80.250.115.133#19227: query: wradish.com IN ANY +E (192.168.0.31)
client 80.250.115.133#19227: slip REFUSED response to 80.250.115.0/24
client 221.229.162.197#6794: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#6794: drop REFUSED response to 221.229.162.0/24
client 221.229.162.197#57811: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#57811: slip REFUSED response to 221.229.162.0/24
client 221.229.162.197#46059: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#46059: drop REFUSED response to 221.229.162.0/24
client 221.229.162.197#7354: query: wradish.com IN ANY +E (192.168.0.31)
client 221.229.162.197#7354: slip REFUSED response to 221.229.162.0/24


real	0m1.260s
user	0m0.004s
sys	0m0.000s

12.11.2014 15:29 Andrej | skóre: 49 | blog: Republic of Mordor
Rozbalit Rozbalit vše Re: Zabezpecenie DNS

Nevidím tam nikde DNSSEC, takže to máš naprosto nezabezpečené.

12.11.2014 22:05 NN
Rozbalit Rozbalit vše Re: Zabezpecenie DNS

Jako zarazejici vidim v acl parametr localnets, ktery povoluje resolving pro vsechny site na stroji vcetne verejne, to v kombinaci s otevrenym nastavenim allow-query, allow-recursion defacto povoluje vsechno vsem. Takze je otazka k cemu vlastne tento resolver slouzi a nedivil bych se, kdyby se ho nekdo nepokusil zneuzit. Viz dolozeny pokus pravdepodobne o DNS amplification utok. Mohl by jsi odchytit, kolik toho priblizne prochazi? Neni mozne, se server uz nestiha odpovidat?

13.11.2014 10:31 j
Rozbalit Rozbalit vše Re: Zabezpecenie DNS

Ta verejna sit bude tak maximaplne jedno Ccko, ostatne v logu je videt, ze DNS odmita preklad. A pokud na nem bezi nejaka vlastni domena, tak stim stejne nic jinyho neudelas. Jedine nasadit nejakej script, kterej bude vyhodnocovat opakovany rejecty v logu a nasledne blokne prislusnou adresu/rozsah na firewallu.

Pokud to ma fungovat jako DNS cache, tak jednoduse na firewallu odstrelit (drop) vse, co prichazi zvenku.

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje