Страница 1 из 1
Права на файлы BIND
Добавлено: 2010-01-13 17:18:02
icb
В каталоге /var/named/dev находятся файлы
Код: Выделить всё
# ls -l /var/named/dev
total 0
crw-rw-rw- 1 root wheel 0, 7 Jan 13 14:11 null
crw-rw-rw- 1 root wheel 0, 12 Jan 3 17:13 random
Зачем этим файлам права на запись для всех? Безопасно ли это?
Все конфиги и файлы зон лучше переписать на bind:bind и выставить права 0660?
Можно ли через DNS вообще получить файл зоны?
Re: Права на файлы BIND
Добавлено: 2010-01-13 19:52:16
agat
получить файл зоны можно разрешенным или если пальцы с кривизной то всем, как вы думаете от куда узнает регистратор о ваших вновь появившихся виртуал хостах? Он качает с вас файло зоны!!!!....
ПАРАНОЙЯ? Я не заморачивался ни когда этим, отравить днс пробовал, и получалось, а что бы там че то менять брррр не стоит оно этого. Imho вполне достаточно chown bind:bind на крайняк запихните bind в jail ....
Re: Права на файлы BIND
Добавлено: 2010-01-13 20:18:14
Gerk
Посмотрите какие права стоят на дефолтные зоны (пакет bind'a для конкретно вашей ОС) и поставьте те же....
Вариантов запуска bind'a много... а вы дали слишком мало инфы.
Для получения зон через DNS попробуйте:
Re: Права на файлы BIND
Добавлено: 2010-01-13 23:26:55
terminus
Дык, елы-палы - то ж devfs там примонтирована, не? В чем проблема то с правами на null и random? Это ведь не 777 на /dev/mem
Вы бы лучше BIND нахренезировали и вместо него поставили NSD + Unbound (в зависимости от того какой функционал нужен).
Re: Права на файлы BIND
Добавлено: 2010-01-14 9:51:20
icb
как вы думаете от куда узнает регистратор о ваших вновь появившихся виртуал хостах
А зачем регистратору узнавать мои виртуал хосты? Регистратор знает мой домен и его NS-сервера, больше ему не надо.
Чужой cервер DNS тоже не знает о моих хостах, а делает запрос моему серверу (какой IP значится для требуемого домена) при необходимости.
Посмотрите какие права стоят на дефолтные зоны (пакет bind'a для конкретно вашей ОС) и поставьте те же....
root:wheel и права 0644
Т.е. файлы доступны на чтение
любому пользователю с системы.
Дык, елы-палы - то ж devfs там примонтирована, не? В чем проблема то с правами на null и random?
Разве должны иметь все право туда писать?
dig <зона> @authoritative_dns_server +arxf
Invalid option: +arxf
Re: Права на файлы BIND
Добавлено: 2010-01-14 10:26:11
terminus
Разве должны иметь все право туда писать?
В каталоге /dev аналогичные права на эти устройства - значит никакой угрозы ничему нет.
Re: Права на файлы BIND
Добавлено: 2010-01-15 15:23:51
agat
А зачем регистратору узнавать мои виртуал хосты? Регистратор знает мой домен и его NS-сервера, больше ему не надо.
Чужой cервер DNS тоже не знает о моих хостах, а делает запрос моему серверу (какой IP значится для требуемого домена) при необходимости.
а домен
www.myhost.net и
www.itsmyhost.net разные, но могут вертется на одной машине, кроме того одним NS сервером не обойтись нужно как минимум 2 один из них мастер(тот на котором меняются зоны)...
Да что там объяснять прочитайте как работает любой ДНС сервер
http://ru.wikipedia.org/wiki/%D0%94%D0%9D%D0%A1 обратите внимание на "Рекурсия" авторитетный сервер в этм случае ваш регистратор
Re: Права на файлы BIND
Добавлено: 2010-01-15 15:31:51
icb
Да что там объяснять прочитайте как работает любой ДНС сервер
Так вот и читайте, раз не можете прочитать правильно вопрос
Вопрос о файлах доступных пользователям сервера на чтение, а не через службу DNS.
Если вы говорите, что "регистратор" знает мои виртуалхосты, то хотелось бы узнать:
1. Кого именно вы подразумеваете под "регистратором"?
2. Как именно он получает
все виртуалхосты с моего сервера?
3. Что такое в вашем понимании "виртуалхост"?
Вопрос как получить полностью файл зоны через dig остается открытым
Re: Права на файлы BIND
Добавлено: 2010-01-15 15:53:55
terminus
Вопрос как получить полностью файл зоны через dig остается открытым
Для этого надо разрешить в настройках сервера выполнение AXFR запросов для определенного хоста (с определенным TKIP ключем, если шифрование задействовано). По такому принципу работает передача между мастером и слейвом. Если в настройках сервера ничего не накосячено, то никто не может получить всю зону.
Re: Права на файлы BIND
Добавлено: 2010-01-15 16:03:52
icb
Для этого надо разрешить в настройках сервера выполнение AXFR запросов для определенного хоста
Так вроде ругается dig что нет такой опции у него?
Или через dig нельзя, только сам DNS сервер может запрашивать такое?
Re: Права на файлы BIND
Добавлено: 2010-01-15 18:20:05
terminus
На сервере ns.dnsserver.com должно быть разрешено проводить axfr передачи для того IP с которого вы запустите dig.
Re: Права на файлы BIND
Добавлено: 2010-01-15 22:13:13
Alex Keda
terminus писал(а):Вы бы лучше BIND нахренезировали и вместо него поставили NSD + Unbound (в зависимости от того какой функционал нужен).
невидно в nmap'ax ваших поделий...
могу предположить что кроме вас и пары контор куда вы их воткнули - больше их нигде нет
)
=======
вернитесь в тему, тролльте дальше
мне скучно - всех победил
)
Re: Права на файлы BIND
Добавлено: 2010-01-15 22:21:27
hizel
лис ты посмотри внимательно свои nmap портянки, там есть nsd
Re: Права на файлы BIND
Добавлено: 2010-01-15 23:19:30
Alex Keda
угу.
ровно такой процет чтобы поверить в его существование
)