Catégorie:Sécuriser DNS bind
Un article de Wiki SOS-ADMIN.
Le serveur DNS Bind est installé par défaut comme un serveur de relais ouvert.
Pour sécuriser votre serveur, voici la procédure. Nous considérerons que votre serveur DNS est installé sur la même machine que tous vos autres services. Dans le cas contraire, lorsque vous devez ajouter votre adresse IP, ajoutez aussi celles des serveurs devant avoir accès à votre DNS (serveur mail ou autres)
allow-recursion
Editez le fichier "/etc/named.conf" pour mettre en debut de fichier :
acl recurseallow { ADRESSE.IP.PUBLIQUE.DE.VOTRE.SERVEUR;127.0.0.1;};
puis de rajouter dans la section options :
allow-recursion { recurseallow; };
N'essayez pas de rajouter simplement "recursion no;" dans options, vous risquez de casser les envois de mail avec qmail.
Merci à Nicolas pour les lignes à ajouter et Stéphane Bouvard pour sa correction sur la ML OVH.
allow-query
Voici une autre solution un petit peu plus lourde à mettre en place mais plus efficace :
Dans chacune de vos zones (qui sont configurées dans /etc/named.conf en général), ajoutez le paramètre suivant :
allow-query { any; };
Ce paramètre va indiquer que n'importe qui peut effectuer une requète sur cette zone.
Ce paramètre est aussi à ajouter au niveau de la définition des zones locales, comme localhost et 0.0.127.in-addr.arpa.
Ensuite, au niveau des paramètres globaux du serveur, ajoutez l'indication plus restrictive :
allow-query {127.0.0.1;ip_de_votre_serveur;};
Ainsi, à part depuis votre propre serveur, seuls les domaines configurés localement pourront être interrogés, toute autre interrogation sera purement et simplement rejetée, même si le domaine interrogé est présent dans le cache.
Attention : si vous utilisez OVHM ou tout autre système du genre, cela signifie qu'il faut le modifier pour tenir compte du paramètre à ajouter dans la définition des zones.
Merci à Stéphane Bouvard de la ML SOS-ADMIN pour cette solution.
--Atkati 31 mar 2006 à 10:32 (CEST)
