[dns-esp] Seguridad en Bind?

Sebastian Castro sebas en requin.cl
Jue Mayo 31 23:58:45 CLT 2012 

On 01/06/12 15:22, Pabluster wrote:
> Hola a todos los listeros de este nueva comunidad, yo por aca nuevamente
> molestando.....
> 

Nadie molesta, todas las consultas son bienvenidas. Es bueno ver la
lista con actividad.

> Algún documento, link  mas menos actualizado referente a políticas o
> configuraciones de seguridad para Bind9 ???
> 
> he encontrado varios pero no son del todo claros y mas de alguno se
> contradice con otro, ademas de no tener una suficiente explicación o
> fundamentos del porque aplicar una regla u otra.
> 

Sugiero que compartas los links que encontraste y discutamos. A lo mejor
hay espacio para mejoras en alguno de ellos.

A mi me gusta este documento

http://www.cymru.com/Documents/secure-bind-template.html

que se ha mantenido actualizado.

En la epoca que editaba configuraciones de BIND para servidores en
produccion, las reglas eran:

- Se aceptan consultas desde todas partes
- Recursion deshabilitada (explicitamente)
- Logging de queries deshabilitado (para evitar llenar los discos, y por
razones de rendimiento)
- No aceptar consultas desde direcciones privadas, salvo aquellas que
vienen de una red que conoces (como tu red interna)
 -Usar chroot
- Deshabilitar dynamic updates
- Ejecutar named como un usuario que no sea root (las distribuciones te
dan eso por omision cuando se instala de paquete)
- Transferencias de zona autorizadas usando ACL y TSIG
- Si tienes un maestro y un esclavo, usar notifies para las zonas que te
interesa, configurarlo explicitamente (y deshabilitarlo en la
configuracion global).


Eso es lo que recuerdo en este minuto,


Saludos
Sebastian Castro
Aprendiz de DNS

> 
> todo sera muy bien recibido por este chiquillo que esta ansioso de
> seguir aprendiendo DNS, que es un tema que me esta enamorando mucho...
> 
> 
> -- 
> **********************************************
> Pablo Figueroa Alvarez
> Linux user N° 379917 - counter.li.org <http://counter.li.org/>
> **********************************************
> 
> 
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp

Más información sobre la lista de distribución dns-esp