Права на файлы BIND

[icb]

В каталоге /var/named/dev находятся файлы

Код: Выделить всё

# ls -l /var/named/dev
total 0
crw-rw-rw-  1 root  wheel    0,   7 Jan 13 14:11 null
crw-rw-rw-  1 root  wheel    0,  12 Jan  3 17:13 random

Зачем этим файлам права на запись для всех? Безопасно ли это?

Все конфиги и файлы зон лучше переписать на bind:bind и выставить права 0660?
Можно ли через DNS вообще получить файл зоны?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[agat]

получить файл зоны можно разрешенным или если пальцы с кривизной то всем, как вы думаете от куда узнает регистратор о ваших вновь появившихся виртуал хостах? Он качает с вас файло зоны!!!!....

ПАРАНОЙЯ? Я не заморачивался ни когда этим, отравить днс пробовал, и получалось, а что бы там че то менять брррр не стоит оно этого. Imho вполне достаточно chown bind:bind на крайняк запихните bind в jail ....

[Gerk]

Посмотрите какие права стоят на дефолтные зоны (пакет bind'a для конкретно вашей ОС) и поставьте те же....
Вариантов запуска bind'a много... а вы дали слишком мало инфы.
Для получения зон через DNS попробуйте:

Код: Выделить всё

dig <зона> @authoritative_dns_server arxf

[terminus]

Дык, елы-палы - то ж devfs там примонтирована, не? В чем проблема то с правами на null и random? Это ведь не 777 на /dev/mem

Вы бы лучше BIND нахренезировали и вместо него поставили NSD + Unbound (в зависимости от того какой функционал нужен).

[icb]

как вы думаете от куда узнает регистратор о ваших вновь появившихся виртуал хостах

А зачем регистратору узнавать мои виртуал хосты? Регистратор знает мой домен и его NS-сервера, больше ему не надо.
Чужой cервер DNS тоже не знает о моих хостах, а делает запрос моему серверу (какой IP значится для требуемого домена) при необходимости.

Посмотрите какие права стоят на дефолтные зоны (пакет bind'a для конкретно вашей ОС) и поставьте те же....

root:wheel и права 0644
Т.е. файлы доступны на чтение любому пользователю с системы.

Дык, елы-палы - то ж devfs там примонтирована, не? В чем проблема то с правами на null и random?

Разве должны иметь все право туда писать?

dig <зона> @authoritative_dns_server +arxf

Invalid option: +arxf

[terminus]

Разве должны иметь все право туда писать?

В каталоге /dev аналогичные права на эти устройства - значит никакой угрозы ничему нет.

[agat]

А зачем регистратору узнавать мои виртуал хосты? Регистратор знает мой домен и его NS-сервера, больше ему не надо.
Чужой cервер DNS тоже не знает о моих хостах, а делает запрос моему серверу (какой IP значится для требуемого домена) при необходимости.

а домен www.myhost.net и www.itsmyhost.net разные, но могут вертется на одной машине, кроме того одним NS сервером не обойтись нужно как минимум 2 один из них мастер(тот на котором меняются зоны)...

Да что там объяснять прочитайте как работает любой ДНС сервер
http://ru.wikipedia.org/wiki/%D0%94%D0%9D%D0%A1 обратите внимание на "Рекурсия" авторитетный сервер в этм случае ваш регистратор

[icb]

Да что там объяснять прочитайте как работает любой ДНС сервер

Так вот и читайте, раз не можете прочитать правильно вопрос
Вопрос о файлах доступных пользователям сервера на чтение, а не через службу DNS.
Если вы говорите, что "регистратор" знает мои виртуалхосты, то хотелось бы узнать:
1. Кого именно вы подразумеваете под "регистратором"?
2. Как именно он получает все виртуалхосты с моего сервера?
3. Что такое в вашем понимании "виртуалхост"?

Вопрос как получить полностью файл зоны через dig остается открытым

[terminus]

Вопрос как получить полностью файл зоны через dig остается открытым

Для этого надо разрешить в настройках сервера выполнение AXFR запросов для определенного хоста (с определенным TKIP ключем, если шифрование задействовано). По такому принципу работает передача между мастером и слейвом. Если в настройках сервера ничего не накосячено, то никто не может получить всю зону.

[icb]

Для этого надо разрешить в настройках сервера выполнение AXFR запросов для определенного хоста

Так вроде ругается dig что нет такой опции у него?
Или через dig нельзя, только сам DNS сервер может запрашивать такое?

[terminus]

Код: Выделить всё

dig @ns.dnsserver.com example.com axfr

На сервере ns.dnsserver.com должно быть разрешено проводить axfr передачи для того IP с которого вы запустите dig.

[Alex Keda]

Вы бы лучше BIND нахренезировали и вместо него поставили NSD + Unbound (в зависимости от того какой функционал нужен).

невидно в nmap'ax ваших поделий...
могу предположить что кроме вас и пары контор куда вы их воткнули - больше их нигде нет )
=======
вернитесь в тему, тролльте дальше
мне скучно - всех победил )

[hizel]

лис ты посмотри внимательно свои nmap портянки, там есть nsd

[Alex Keda]

угу.
ровно такой процет чтобы поверить в его существование )