Права на файлы BIND

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
icb
лейтенант
Сообщения: 749
Зарегистрирован: 2008-07-15 16:11:11

Права на файлы BIND

Непрочитанное сообщение icb » 2010-01-13 17:18:02

В каталоге /var/named/dev находятся файлы

Код: Выделить всё

# ls -l /var/named/dev
total 0
crw-rw-rw-  1 root  wheel    0,   7 Jan 13 14:11 null
crw-rw-rw-  1 root  wheel    0,  12 Jan  3 17:13 random
Зачем этим файлам права на запись для всех? Безопасно ли это?

Все конфиги и файлы зон лучше переписать на bind:bind и выставить права 0660?
Можно ли через DNS вообще получить файл зоны?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
agat
мл. сержант
Сообщения: 138
Зарегистрирован: 2009-10-27 1:21:55
Откуда: Солнечная система, планета Земля, Россия
Контактная информация:

Re: Права на файлы BIND

Непрочитанное сообщение agat » 2010-01-13 19:52:16

получить файл зоны можно разрешенным или если пальцы с кривизной то всем, как вы думаете от куда узнает регистратор о ваших вновь появившихся виртуал хостах? Он качает с вас файло зоны!!!!....

ПАРАНОЙЯ? Я не заморачивался ни когда этим, отравить днс пробовал, и получалось, а что бы там че то менять брррр не стоит оно этого. Imho вполне достаточно chown bind:bind на крайняк запихните bind в jail ....

Gerk
сержант
Сообщения: 194
Зарегистрирован: 2009-09-23 23:01:37
Откуда: Симферополь, UA

Re: Права на файлы BIND

Непрочитанное сообщение Gerk » 2010-01-13 20:18:14

Посмотрите какие права стоят на дефолтные зоны (пакет bind'a для конкретно вашей ОС) и поставьте те же....
Вариантов запуска bind'a много... а вы дали слишком мало инфы.
Для получения зон через DNS попробуйте:

Код: Выделить всё

dig <зона> @authoritative_dns_server arxf
Последний раз редактировалось Gerk 2010-01-17 10:20:40, всего редактировалось 1 раз.

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Права на файлы BIND

Непрочитанное сообщение terminus » 2010-01-13 23:26:55

Дык, елы-палы - то ж devfs там примонтирована, не? В чем проблема то с правами на null и random? Это ведь не 777 на /dev/mem :pardon:

Вы бы лучше BIND нахренезировали и вместо него поставили NSD + Unbound (в зависимости от того какой функционал нужен).
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

icb
лейтенант
Сообщения: 749
Зарегистрирован: 2008-07-15 16:11:11

Re: Права на файлы BIND

Непрочитанное сообщение icb » 2010-01-14 9:51:20

как вы думаете от куда узнает регистратор о ваших вновь появившихся виртуал хостах
А зачем регистратору узнавать мои виртуал хосты? Регистратор знает мой домен и его NS-сервера, больше ему не надо.
Чужой cервер DNS тоже не знает о моих хостах, а делает запрос моему серверу (какой IP значится для требуемого домена) при необходимости.
Посмотрите какие права стоят на дефолтные зоны (пакет bind'a для конкретно вашей ОС) и поставьте те же....
root:wheel и права 0644
Т.е. файлы доступны на чтение любому пользователю с системы.
Дык, елы-палы - то ж devfs там примонтирована, не? В чем проблема то с правами на null и random?
Разве должны иметь все право туда писать?
dig <зона> @authoritative_dns_server +arxf
Invalid option: +arxf

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Права на файлы BIND

Непрочитанное сообщение terminus » 2010-01-14 10:26:11

Разве должны иметь все право туда писать?
В каталоге /dev аналогичные права на эти устройства - значит никакой угрозы ничему нет.
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Аватара пользователя
agat
мл. сержант
Сообщения: 138
Зарегистрирован: 2009-10-27 1:21:55
Откуда: Солнечная система, планета Земля, Россия
Контактная информация:

Re: Права на файлы BIND

Непрочитанное сообщение agat » 2010-01-15 15:23:51

А зачем регистратору узнавать мои виртуал хосты? Регистратор знает мой домен и его NS-сервера, больше ему не надо.
Чужой cервер DNS тоже не знает о моих хостах, а делает запрос моему серверу (какой IP значится для требуемого домена) при необходимости.
а домен www.myhost.net и www.itsmyhost.net разные, но могут вертется на одной машине, кроме того одним NS сервером не обойтись нужно как минимум 2 один из них мастер(тот на котором меняются зоны)...

Да что там объяснять прочитайте как работает любой ДНС сервер
http://ru.wikipedia.org/wiki/%D0%94%D0%9D%D0%A1 обратите внимание на "Рекурсия" авторитетный сервер в этм случае ваш регистратор

icb
лейтенант
Сообщения: 749
Зарегистрирован: 2008-07-15 16:11:11

Re: Права на файлы BIND

Непрочитанное сообщение icb » 2010-01-15 15:31:51

Да что там объяснять прочитайте как работает любой ДНС сервер
Так вот и читайте, раз не можете прочитать правильно вопрос :-o
Вопрос о файлах доступных пользователям сервера на чтение, а не через службу DNS.
Если вы говорите, что "регистратор" знает мои виртуалхосты, то хотелось бы узнать:
1. Кого именно вы подразумеваете под "регистратором"?
2. Как именно он получает все виртуалхосты с моего сервера?
3. Что такое в вашем понимании "виртуалхост"?

Вопрос как получить полностью файл зоны через dig остается открытым ;)
Последний раз редактировалось icb 2010-01-15 16:03:20, всего редактировалось 1 раз.

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Права на файлы BIND

Непрочитанное сообщение terminus » 2010-01-15 15:53:55

Вопрос как получить полностью файл зоны через dig остается открытым
Для этого надо разрешить в настройках сервера выполнение AXFR запросов для определенного хоста (с определенным TKIP ключем, если шифрование задействовано). По такому принципу работает передача между мастером и слейвом. Если в настройках сервера ничего не накосячено, то никто не может получить всю зону.
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

icb
лейтенант
Сообщения: 749
Зарегистрирован: 2008-07-15 16:11:11

Re: Права на файлы BIND

Непрочитанное сообщение icb » 2010-01-15 16:03:52

Для этого надо разрешить в настройках сервера выполнение AXFR запросов для определенного хоста
Так вроде ругается dig что нет такой опции у него?
Или через dig нельзя, только сам DNS сервер может запрашивать такое?

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Права на файлы BIND

Непрочитанное сообщение terminus » 2010-01-15 18:20:05

Код: Выделить всё

dig @ns.dnsserver.com example.com axfr
На сервере ns.dnsserver.com должно быть разрешено проводить axfr передачи для того IP с которого вы запустите dig.
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35284
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Права на файлы BIND

Непрочитанное сообщение Alex Keda » 2010-01-15 22:13:13

terminus писал(а):Вы бы лучше BIND нахренезировали и вместо него поставили NSD + Unbound (в зависимости от того какой функционал нужен).
невидно в nmap'ax ваших поделий...
могу предположить что кроме вас и пары контор куда вы их воткнули - больше их нигде нет =))
=======
вернитесь в тему, тролльте дальше
мне скучно - всех победил =))
Убей их всех! Бог потом рассортирует...

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Права на файлы BIND

Непрочитанное сообщение hizel » 2010-01-15 22:21:27

лис ты посмотри внимательно свои nmap портянки, там есть nsd :pardon:
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35284
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Права на файлы BIND

Непрочитанное сообщение Alex Keda » 2010-01-15 23:19:30

угу.
ровно такой процет чтобы поверить в его существование =))
Убей их всех! Бог потом рассортирует...