BIND seguro
Dica publicada em Linux / Segurança
.jpg)
BIND seguro
O serviço de DNS BIND sem dúvidas é o mais visado para
ataques e invasões de servidores. Para que o "atacante"
consiga o que ele quer, ele somente precisa saber de duas
simples coisas:
Por padrão, o BIND vem configurado para deixar que qualquer host faça transferência de zonas, além de deixar a versão do pacote disponível.
Isto é considerado como uma falha de segurança e para resolver este problema e fixar a segurança, inclua as seguintes linhas no arquivo /etc/named.conf:
- Versão do BIND instalada;
- Acesso a transferência de zonas;
Por padrão, o BIND vem configurado para deixar que qualquer host faça transferência de zonas, além de deixar a versão do pacote disponível.
Isto é considerado como uma falha de segurança e para resolver este problema e fixar a segurança, inclua as seguintes linhas no arquivo /etc/named.conf:
options {
version "8.9";
allow-transfer {
200.200.200.202; //máquinas que podem fazer a transferência
200.200.200.204;
};
};
version "8.9";
allow-transfer {
200.200.200.202; //máquinas que podem fazer a transferência
200.200.200.204;
};
};
Note que no exemplo acima, a versão do BIND, mostrada ao usuários autorizados pelos IPs (200.200.200.202 e 200.200.200.204), corresponde a "8.9". Esta dica lhe ajuda a esconder a versão do seu BIND, tornando-o mais seguro.
Por favor pessoal, comentem sobre minha dica.
Abraços.