การติดตั้งและกำหนดค่า Failed2ban สำหรับเซิร์ฟเวอร์ DNS ที่เชื่อถือได้ของ Bind9 นั้นคุ้มค่าหรือไม่

hancack

17/4/23 10:34

ในโครงสร้างพื้นฐานโครงการของเรา เรามีเนมเซิร์ฟเวอร์ซึ่งอ้างอิงจาก bind9 เนมเซิร์ฟเวอร์นี้ได้รับการกำหนดค่าเป็นหลักและเชื่อถือได้ ดังนั้นจึงค่อนข้างสำคัญ คำถามคือ ฉันควรติดตั้งและกำหนดค่า fail2ban เพื่อวัตถุประสงค์ในการปกป้องเซิร์ฟเวอร์ DNS นี้หรือไม่ มันคุ้มค่าหรือไม่? ฉันพยายามค้นหาการกำหนดค่าที่ล้มเหลว 2 แบนสำหรับ Bind9/named แต่มีเพียงเล็กน้อยเท่านั้น และดูเหมือนว่าจะไม่ใช่สิ่งที่ผู้คนทำ (อย่างน้อยก็โพสต์) มากนัก

หากสร้างความแตกต่าง Bind9 กำลังทำงานในคอนเทนเนอร์นักเทียบท่าที่มีพอร์ต 53/udp ที่เปิดเผย

120

0 + 0

ระบบชื่อโดเมน

ลินุกซ์

เจนทู

การชุบแข็ง

ล้มเหลว 2 แบน

NiKiZe

17/4/23 11:03

จะมีประโยชน์อะไรหากเป็นบริการสาธารณะ? (สามารถปลอมแปลง UDP ได้เช่นกัน แต่จำไว้ว่า DNS ใช้ทั้ง UDP และ TCP) หาก DNS หลักมีความสำคัญ ให้เก็บไว้ภายในเท่านั้นและเปิดเผยเฉพาะทาส เพิ่มทาสของไซต์อย่างน้อยหนึ่งตัวด้วย (คุณสามารถรับได้ฟรีที่ he.net และ Fear.org)

ตอบกลับ

hancack

17/4/23 11:49

@NiKiZe ขอบคุณสำหรับคำแนะนำที่ดีเกี่ยวกับการเปิดเผยทาสเท่านั้น! และเกี่ยวกับจุดติดตั้ง fail2ban ฉันคิดว่าบางทีมันอาจจะเพิ่มความแข็งแกร่งให้กับเซิร์ฟเวอร์โดยการบล็อกที่อยู่ IP ที่น่าสงสัยหรือบางอย่าง

ตอบกลับ

Patrick Mevzek

17/4/23 15:11

นิยามคำว่า "น่าสงสัย" :-) มีเครื่องมือเล็กๆ น้อยๆ ที่ออกแบบมาสำหรับ DNS อย่างแท้จริง ดังนั้นจึงมักเป็นความคิดที่ดีที่จะวางสิ่งต่างๆ ไว้ข้างหน้าเซิร์ฟเวอร์ DNS มี 2 เส้นทางที่คุณสามารถติดตามได้: ดูที่คุณสมบัติการผูก RRL ซึ่งเป็นการจำกัดอัตรา และสำหรับความต้องการที่ทรงพลังจริงๆ ให้ดูที่ 'dnsdist' ซึ่งอยู่ด้านหน้าของเนมเซิร์ฟเวอร์และอนุญาตให้ควบคุมทราฟฟิกได้อย่างละเอียด

ตอบกลับ

hancack

17/4/23 17:30

@PatrickMevzek ฉันเดาว่าลูกค้าบางคนพยายามส่งคำขอไปยังเซิร์ฟเวอร์มากเกินไป อาจจัดอยู่ในหมวดหมู่ "น่าสงสัย" ฉันไม่รู้ :) ขณะนี้โครงการเพิ่งเริ่มต้น ดังนั้นฉันคิดว่าคงไม่เป็นไรที่จะปล่อยการผูกไว้เพราะไม่มีการป้องกันเพิ่มเติม ขอบคุณสำหรับการตอบกลับ เราจะตรวจสอบเครื่องมือที่คุณกล่าวถึงอย่างแน่นอน!

ตอบกลับ

djdomi

19/4/23 18:05

โดยพื้นฐานแล้วฉันสร้างกฎใหม่สำหรับสแปม คุณสามารถดูที่เก็บ Github ของฉัน https://github.com/djdomi/fail2ban-rules

ตอบกลับ

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: Is it worth it to install and configure fail2ban for an Bind9 authoritative DNS server?

TH: การติดตั้งและกำหนดค่า Failed2ban สำหรับเซิร์ฟเวอร์ DNS ที่เชื่อถือได้ของ Bind9 นั้นคุ้มค่าหรือไม่

RO: Merită să instalați și să configurați fail2ban pentru un server DNS autorizat Bind9?

RU: Стоит ли устанавливать и настраивать fail2ban для авторитетного DNS-сервера Bind9?

VI: Có đáng để cài đặt và định cấu hình fail2ban cho máy chủ DNS có thẩm quyền Bind9 không?

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา