[CentOS-de] named: the working directory is not writable

[Tobias Crefeld]

Am Thu, 03 Nov 2011 04:56:44 +0100
schrieb Wolfgang <centos at arcor.de>:

>> kann - z.B. auch per manipuliertem reply.  

> Möglicher Schutz?
> Begrenzung der Packetgröße für DNS?
> (Wie müsste dann die iptables-Zeile aussehen?)
> Welchen Schutz verwendest Du?

DNS-replies können ganz regulär sehr groß sein. Erst recht seit IPv6,
dessen AAAA-records durchaus auch via V4 verteilt werden und sowieso
zwischen master und slaves einer domain.

Primärer Schutz gegen Eindringlinge via Programmfehler ist regelmäßiges
Bugfixing/Update. Das läuft ja bei CentOS recht komfortabel, aber klar:
Wenn's blöd läuft, dauert das bei CentOS Wochen bis Monate, bis ein
Bugfix aus den RHEL-Universum im CentOS-Repository ankommt - siehe
derzeitige Update-Praxis bei CentOS-6. Man könnte deswegen zum Original
wechseln...

Oder einen anderen DNS vorschalten. Wir arbeiten hier an den
Netzwerkgrenzen durchweg mit OpenBSD als Firewall/Router. Da laufen
dann auch die name-server, die nicht unbedingt ebenfalls bind heißen
müssen. Damit muss ein Angriff durch zwei verschiedene OS bzw.
verschiedene Applikationen hindurch erfolgreich sein. Das ist für
script-kiddies toolkit nicht mehr praktikabel und gezielte Angriffe
gegen ein Netzwerk mit großem Budget finden eh von innen her statt.

Und ansonsten eben die bereits erwähnte Schadensbegrenzung treiben und
daemon-Rechte einschränken.


Gruß,
 Tobias.