Loading...
système

Sécurité BIND DNS query denied

Si dans vos logs vous avez des messages du style :

Jun 10 15:08:04 ns293xx named[7778]: client 91.121.103.13#36552: query (cache) ‘vin-de-siecle.pl/MX/IN’ denied
Jun 10 15:08:15 ns293xx named[7778]: client 91.121.103.13#43692: query (cache) ‘vin-de-siecle.pl/MX/IN’ denied
Jun 10 15:08:26 ns293xx named[7778]: client 91.121.103.13#37836: query (cache) ‘vin-de-siecle.pl/MX/IN’ denied
Jun 10 15:08:29 ns293xx named[7778]: client 91.121.103.13#40694: query (cache) ‘vin-de-siecle.pl/MX/IN’ denied
Jun 10 15:08:34 ns293xx named[7778]: client 91.121.103.13#34691: query (cache) ‘vin-de-siecle.pl/A/IN’ denied

Vous devriez vérifier votre configuration de BIND :

BIND (Berkeley Internet Name Domain) est le serveur DNS le plus utilisé sur Internet, spécialement sur les systèmes de type Unix. Il est maintenu par Internet Systems Consortium.

Une nouvelle version de BIND (BIND 9) a été réécrite afin de résoudre certains problèmes architecturaux du code initial et d’ajouter le support de DNSSEC (DNS Security Extensions).

La configuration de Bind par défaut comporte une ”faille” de sécurité, en effet la configuration autorise des tierces personnes à utiliser le serveur DNS (sans demander la permission ^^). Cela fait de notre cher Bind un serveur DNS relais !!

Pour corriger cette faille nous allons ajouter une option dans le fichier “/etc/bind/named.conf.options”.

allow-recursion { 127.0.0.1; serverip;};

Ce qui a pour incidence que l’utilisation de Bind ne sera autorisée que sur le serveur même.

Attention à ne pas mettre “none” autrement votre serveur ne pourra pas résoudre ces propres requêtes !!

allow-recursion { none; };

allow-query-cache

Avec allow-recursion nous avons déjà comblé une partie de la faille, il reste encore à interdire l’utilisation du cache de notre serveur, pour se faire comme d’habitude il faut ajouter une option dans le fichier “/etc/bind/named.conf.options”.

allow-query-cache { 127.0.0.1; serverip;};
Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *