จะหยุด BIND9 จากการเป็นเซิร์ฟเวอร์ DNS ที่เชื่อถือได้สำหรับโฮสต์ได้อย่างไร

จนกระทั่งเมื่อไม่นานมานี้ ฉันใช้ BIND9 บนเซิร์ฟเวอร์ภายในองค์กรของฉัน (Ubuntu 16.04 w/LAMP) แต่จากนั้นฉันตัดสินใจย้ายหนึ่งในไซต์ของฉันไปยังโฮสติ้งของบุคคลที่สามจากระยะไกล เห็นได้ชัดว่าฉันได้เปลี่ยนเซิร์ฟเวอร์ DNS บนเว็บไซต์ของผู้รับจดทะเบียนของไซต์และไซต์ก็ทำงานได้ดี ปัญหาคือในเครื่อง LOCAL ของฉัน (ที่ BIND9 อยู่) มันยังคงชี้ให้ฉันไปที่การติดตั้งโฮสต์นั้นในเครื่องของฉัน

หยุดการมีอำนาจสำหรับโดเมน

ลบโซนออกจากการกำหนดค่าของ BIND เช่น ลบ

โซน "example.com" { ประเภทต้นแบบ; ไฟล์ "/etc/bind/db.example.com"; };

จากนั้นโหลดการกำหนดค่าใหม่ด้วย

$ sudo rndc โหลดซ้ำ

แยกโครงสร้างพื้นฐาน DNS ที่เชื่อถือได้และเรียกซ้ำของคุณ

คุณอาจมี เนมเซิร์ฟเวอร์ 127.0.0.1 ในของคุณ /etc/resolv.conf. คุณสามารถลบออกและเพิ่มเนมเซิร์ฟเวอร์แบบเรียกซ้ำที่คุณสามารถใช้เป็นตัวแก้ไขได้

แม้ว่าจะเป็นไปได้ทางเทคนิคที่จะมีทั้งบทบาทแบบเรียกซ้ำและแบบอนุญาตบนเซิร์ฟเวอร์เดียวกัน แต่ก็ไม่แนะนำ มีเหตุผลหลายประการสำหรับการแยกนี้:

• ป้องกัน การโจมตีแบบขยาย (RFC 5358, 4).

• ป้องกัน พิษแคช DNSแม้ว่านี่จะเป็นเหตุผลทางประวัติศาสตร์ที่อธิบายได้ดีที่สุดในการพิมพ์ครั้งที่ 3 ของ Nemeth, E., Snyder, G., Seebass, S., & Hein, T. (2000) คู่มือการดูแลระบบ UNIX เพียร์สัน เอ็ดดูเคชั่น. (บทที่ 16 ระบบชื่อโดเมน ซอฟต์แวร์ BIND เซิร์ฟเวอร์ที่มีสิทธิ์และแคชเท่านั้น):

  ใน BIND4 และ BIND 8 ไม่ควรที่จะใช้เซิร์ฟเวอร์ชื่อเดียว เป็นเซิร์ฟเวอร์ที่มีสิทธิ์สำหรับบางโซนและเป็นเซิร์ฟเวอร์แคชสำหรับ คนอื่น. แต่ละชื่อรันด้วยฐานข้อมูลในหน่วยความจำเดียว และ การปนเปื้อนข้ามอาจเกิดขึ้นได้หากหน่วยความจำแน่นและข้อมูลแคช ผสมกับข้อมูลที่เชื่อถือได้ BIND 9 ได้ขจัดปัญหานี้ออกไปแล้ว ผสมออกไป

• สำหรับ เสถียรภาพ / โหลดบาลานซ์: เนมเซิร์ฟเวอร์ที่มีสิทธิ์เป็นส่วนสำคัญของอินเทอร์เน็ต เนื่องจากเกือบทุกอย่างต้องอาศัย DNS ดังนั้นเราจึงไม่ควรปล่อยให้ข้อผิดพลาดทางเทคนิคหรือการโหลดสูงของเซิร์ฟเวอร์แบบเรียกซ้ำเพื่อส่งผลกระทบต่อประสิทธิภาพของระบบนี้

• การป้องกันสถานการณ์ที่แน่นอนนี้ ซึ่งเนมเซิร์ฟเวอร์หยุดการอนุญาตสำหรับโดเมน แต่การกำหนดค่าในเครื่องจะคอยตอบสนองตามสิทธิ์ และท้ายที่สุดก็มีบันทึกที่ล้าสมัย