[CentOS-de] named: the working directory is not writable
Tobias Crefeld
tc at cataneo.eu
Do Nov 3 06:59:12 EDT 2011
Am Thu, 03 Nov 2011 04:56:44 +0100
schrieb Wolfgang <centos at arcor.de>:
>> kann - z.B. auch per manipuliertem reply.
> Möglicher Schutz?
> Begrenzung der Packetgröße für DNS?
> (Wie müsste dann die iptables-Zeile aussehen?)
> Welchen Schutz verwendest Du?
DNS-replies können ganz regulär sehr groß sein. Erst recht seit IPv6,
dessen AAAA-records durchaus auch via V4 verteilt werden und sowieso
zwischen master und slaves einer domain.
Primärer Schutz gegen Eindringlinge via Programmfehler ist regelmäßiges
Bugfixing/Update. Das läuft ja bei CentOS recht komfortabel, aber klar:
Wenn's blöd läuft, dauert das bei CentOS Wochen bis Monate, bis ein
Bugfix aus den RHEL-Universum im CentOS-Repository ankommt - siehe
derzeitige Update-Praxis bei CentOS-6. Man könnte deswegen zum Original
wechseln...
Oder einen anderen DNS vorschalten. Wir arbeiten hier an den
Netzwerkgrenzen durchweg mit OpenBSD als Firewall/Router. Da laufen
dann auch die name-server, die nicht unbedingt ebenfalls bind heißen
müssen. Damit muss ein Angriff durch zwei verschiedene OS bzw.
verschiedene Applikationen hindurch erfolgreich sein. Das ist für
script-kiddies toolkit nicht mehr praktikabel und gezielte Angriffe
gegen ein Netzwerk mit großem Budget finden eh von innen her statt.
Und ansonsten eben die bereits erwähnte Schadensbegrenzung treiben und
daemon-Rechte einschränken.
Gruß,
Tobias.