Sécurité BIND DNS query denied
Si dans vos logs vous avez des messages du style :
Jun 10 15:08:04 ns293xx named[7778]: client 91.121.103.13#36552: query (cache) ‘vin-de-siecle.pl/MX/IN’ denied
Jun 10 15:08:15 ns293xx named[7778]: client 91.121.103.13#43692: query (cache) ‘vin-de-siecle.pl/MX/IN’ denied
Jun 10 15:08:26 ns293xx named[7778]: client 91.121.103.13#37836: query (cache) ‘vin-de-siecle.pl/MX/IN’ denied
Jun 10 15:08:29 ns293xx named[7778]: client 91.121.103.13#40694: query (cache) ‘vin-de-siecle.pl/MX/IN’ denied
Jun 10 15:08:34 ns293xx named[7778]: client 91.121.103.13#34691: query (cache) ‘vin-de-siecle.pl/A/IN’ denied
Vous devriez vérifier votre configuration de BIND :
BIND (Berkeley Internet Name Domain) est le serveur DNS le plus utilisé sur Internet, spécialement sur les systèmes de type Unix. Il est maintenu par Internet Systems Consortium.
Une nouvelle version de BIND (BIND 9) a été réécrite afin de résoudre certains problèmes architecturaux du code initial et d’ajouter le support de DNSSEC (DNS Security Extensions).
La configuration de Bind par défaut comporte une ”faille” de sécurité, en effet la configuration autorise des tierces personnes à utiliser le serveur DNS (sans demander la permission ^^). Cela fait de notre cher Bind un serveur DNS relais !!
Pour corriger cette faille nous allons ajouter une option dans le fichier “/etc/bind/named.conf.options”.
|
1 |
allow-recursion { 127.0.0.1; serverip;}; |
Ce qui a pour incidence que l’utilisation de Bind ne sera autorisée que sur le serveur même.
Attention à ne pas mettre “none” autrement votre serveur ne pourra pas résoudre ces propres requêtes !!
|
1 |
allow-recursion { none; }; |
allow-query-cache
Avec allow-recursion nous avons déjà comblé une partie de la faille, il reste encore à interdire l’utilisation du cache de notre serveur, pour se faire comme d’habitude il faut ajouter une option dans le fichier “/etc/bind/named.conf.options”.
|
1 |
allow-query-cache { 127.0.0.1; serverip;}; |
Si vous avez apprécié cet article, s’il vous plait, prenez le temps de laisser un commentaire
ou de souscrire au flux afin de recevoir les futurs articles directement dans votre lecteur de flux.
Bonjour,
Merci pour cet excellent article. Récemment lors de l’installation d’un de mes serveur sous la distribution debian 8 ( jessie) j’ai eu exactement les mêmes erreur au sein de mon fichier syslog. En cherchant sur internet, je suis tombé sur votre post.
Merci
Cdt
Laurent