[dns-esp] Seguridad en Bind?
Sebastian Castro
sebas en requin.cl
Jue Mayo 31 23:58:45 CLT 2012
On 01/06/12 15:22, Pabluster wrote:
> Hola a todos los listeros de este nueva comunidad, yo por aca nuevamente
> molestando.....
>
Nadie molesta, todas las consultas son bienvenidas. Es bueno ver la
lista con actividad.
> Algún documento, link mas menos actualizado referente a políticas o
> configuraciones de seguridad para Bind9 ???
>
> he encontrado varios pero no son del todo claros y mas de alguno se
> contradice con otro, ademas de no tener una suficiente explicación o
> fundamentos del porque aplicar una regla u otra.
>
Sugiero que compartas los links que encontraste y discutamos. A lo mejor
hay espacio para mejoras en alguno de ellos.
A mi me gusta este documento
http://www.cymru.com/Documents/secure-bind-template.html
que se ha mantenido actualizado.
En la epoca que editaba configuraciones de BIND para servidores en
produccion, las reglas eran:
- Se aceptan consultas desde todas partes
- Recursion deshabilitada (explicitamente)
- Logging de queries deshabilitado (para evitar llenar los discos, y por
razones de rendimiento)
- No aceptar consultas desde direcciones privadas, salvo aquellas que
vienen de una red que conoces (como tu red interna)
-Usar chroot
- Deshabilitar dynamic updates
- Ejecutar named como un usuario que no sea root (las distribuciones te
dan eso por omision cuando se instala de paquete)
- Transferencias de zona autorizadas usando ACL y TSIG
- Si tienes un maestro y un esclavo, usar notifies para las zonas que te
interesa, configurarlo explicitamente (y deshabilitarlo en la
configuracion global).
Eso es lo que recuerdo en este minuto,
Saludos
Sebastian Castro
Aprendiz de DNS
>
> todo sera muy bien recibido por este chiquillo que esta ansioso de
> seguir aprendiendo DNS, que es un tema que me esta enamorando mucho...
>
>
> --
> **********************************************
> Pablo Figueroa Alvarez
> Linux user N° 379917 - counter.li.org <http://counter.li.org/>
> **********************************************
>
>
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp
Más información sobre la lista de distribución dns-esp