GoldZone Web Hosting

Rédigé par Gaëtan Trellu (goldyfruit)

Outils pour utilisateurs

Outils du site


quelques_options_de_configuration

Quelques options de configuration.

allow-recursion

La configuration de Bind par défaut comporte une “faille” de sécurité, en effet la configuration autorise des tierces personnes à utiliser le serveur DNS (sans demander la permission ^^). Cela fait de notre cher Bind un serveur DNS relais !!

Pour corriger cette faille nous allons ajouter une option dans le fichier “/etc/bind/named.conf.options”.

allow-recursion { 127.0.0.1; };

Ce qui a pour incidence que l'utilisation de Bind ne sera autorisée que sur le serveur même.

Attention à ne pas mettre “none” autrement votre serveur ne pourra pas résoudre ces propres requêtes !!

allow-recursion { none; };

allow-query-cache

Avec allow-recursion nous avons déjà comblé une partie de la faille, il reste encore à interdire l'utilisation du cache de notre serveur, pour se faire comme d'habitude il faut ajouter une options dans le fichier “/etc/bind/named.conf.options”.

allow-query-cache { 127.0.0.1; };

listen-on-v6

Bind est capable de recevoir des requêtes venant d'une interface en IPv6, pour se faire il suffit d'ajouter une option dans le fichier “/etc/bind/named.conf.options(présente par défaut).

listen-on-v6 { any; };

Il peut s'avérer que cette option pose quelques problèmes au niveau des transferts de zone (très rarement), pour la désactiver il suffit de changer le paramètre “any” en “none”.

listen-on-v6 { none; };

En IPv4, ça sera “listen-on”.

listen-on { 127.0.0.1; 192.168.0.1; };

Ici le serveur écoute sur écoute sur les interfaces locale et 192.168.0.1.

version

L'option “version” permet de dissimuler la version de Bind, en effet une personne malveillante peut vouloir récupérer la version de votre Bind afin de mener une petite attaque contre ce dernier si il n'est pas à jour.

Il utilisera l'une des commandes suivantes :

$ dig @ns1.goldzoneweb.info version.bind txt chaos

La réponse à cette commande sera :

;; ANSWER SECTION:
VERSION.BIND.           0       CH      TXT     "9.5.0-P2"

Ou :

$ nslookup -type=txt -class=chaos version.bind ns1.goldzoneweb.info

La réponse à cette commande sera :

VERSION.BIND    text = "9.5.0-P2"

Cette option est donc à ajouter dans le fichier “/etc/bind/named.conf.options”.

version "GoldZone Web";

Désormais lorsqu'une personne voudra afficher la version de votre Bind il verra “GoldZone Web” et plus “9.5.0-P2”.

statistics-file

Bind est capable de générer des statistiques sur les requêtes qu'il a reçu. L'option “statistics-file” permet donc de définir un fichier ou seront stockés ces statistiques.
Cette option est donc à ajouter dans le fichier “/etc/bind/named.conf.options”.

statistics-file "/var/cache/bind/stats.log";

zone-statistics

Cette option permet d'avoir des statistiques pour chacune des zones gérées par Bind. Option à ajouter dans le fichier “/etc/bind/named.conf.options”.

zone-statistics yes;

statistics-interval

Défini un intervalle de temps (en seconde) entre chaque génération de statistiques. Option à ajouter dans le fichier “/etc/bind/named.conf.options”.

statistics-interval 3600;

forwarders

L'option “forwarders” permet de rediriger les requêtes qui ne sont pas résolues par notre serveur vers un serveur DNS distant (serveurs DNS de votre FAI par exemple).

Cela permet d'utiliser le cache d'un serveur déjà existant et donc d'obtenir des temps d'accès plus rapides.
Si la requête DNS n'est pas résolue par le serveur DNSdistant” alors la requête sera envoyée aux serveurs DNS racine.

forwarders { 212.27.40.240; 212.27.40.241; };

forward first

forward first” indique à Bind de d'abord aller regarder sur les serveurs indiqués dans le paramètre “forwarders” avant d'aller regarder dans les serveurs racine.

forward first;

Relance du service Bind.

Ne surtout pas oublier de relancer le service Bind afin que les modifications soient prises en compte.

# rndc reload

Voir le lien suivant pour de plus amples informations.

Changelog.

quelques_options_de_configuration.txt · Dernière modification: 2011/01/05 16:05 (modification externe)