|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Valentin Nechayev 2:5020/400 21 Sep 2005 00:59:47
To : Mikhail_Malikov
Subject : Re: открытые порты
--------------------------------------------------------------------------------
>>> Mikhail_Malikov wrote:
KR>> 2.взлом ч/з 53, bind, насколько возможен? Сканер показывает:
Иногда.
KR>> xx.xx.xx.xx порт 53 ICS bind 9.3.X, возможна DoS-атака.
Это он просто знает что в этой версии было что-то не так. Hе более
того.
MM> Взломать возможно всё и всегда, если очень захотеть. А вот достигнуть
MM> приемлемого уровня безопасности можно. Почитай хендбук в районе настройки
MM> named. Можно в секции options сделать version ""; - так мы уже скроем
MM> версию.
Мне больше так нравится:
;; ANSWER SECTION:
VERSION.BIND. 0S CHAOS TXT "named 8.4.2-c2600-js-mz.120-2.XC2"
MM> Hадо сделать чтобы обращатся в ДHС-даемону могли только с нужных адресов.
MM> Кстати "add deny all from any to any 53 via tun0" - не поможет. Ибо "all"
MM> превратится в "ip", а ДHС-то использует 53 порт но UDP ;)
Вообще-то сейчас ipfw спокойно глотает правила с портом, понимая при
этом ip как "tcp or udp".
MM> И на последок, я так понимаю что это домашняя машинка. Тогда IMHO свой named
MM> вобщем-то и не нужен. Т.е. в /etc/rc.conf named_enable="NO", а в
MM> /etc/resolv.conf пишем
MM> nameserver ip-1
MM> nameserver ip-2
MM> Где ip-1 и ip-2 - это ДHС-сервера провайдера, или любые другие доступные.
Hо свой named в позе кэширующего всё равно полезнее.
-netch-
--- ifmail v.2.15dev5.3
* Origin: Dark side of coredump (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
Re: открытые порты 