Nu mai fii autoritar pentru domeniu
Eliminați zona din configurația BIND, adică eliminați
zone "example.com" { tip master; fișierul „/etc/bind/db.example.com”; };
și apoi reîncărcați configurația cu
$ sudo rndc reload
Separați-vă infrastructura DNS autorizată și recursivă
Probabil că ai serverul de nume 127.0.0.1 în dumneavoastră /etc/resolv.conf. Puteți să-l eliminați și să adăugați servere de nume recursive pe care le puteți utiliza ca soluții.
Deși este posibil din punct de vedere tehnic să aveți atât roluri recursive, cât și cele autoritare pe același server, nu este recomandat. Există mai multe motive pentru această izolare:
Prevenirea atacuri de amplificare (RFC 5358, 4).
Prevenirea Otrăvirea cache-ului DNS, deși acesta este în mare parte un motiv istoric explicat cel mai bine în ediția a 3-a a Nemeth, E., Snyder, G., Seebass, S. și Hein, T. (2000). Manual de administrare a sistemului UNIX. Pearson Education. (Capitolul 16 SISTEMUL DE NUMELE DE DOMENIU; Software-ul BIND; Servere autorizate și numai pentru stocarea în cache.):
În BIND4 și BIND 8, nu a fost o idee bună să folosiți un singur server de nume
ca server autorizat pentru unele zone și ca server de cache pentru
alții. Fiecare numit rula cu o singură bază de date în memorie și
contaminarea încrucișată ar putea apărea dacă memoria era îngustă și datele stocate în cache
amestecat cu date autorizate. BIND 9 a eliminat această problemă, deci
amestecați departe.
Pentru stabilitate / echilibrare a sarcinii: serverele de nume autorizate sunt o parte crucială a Internetului, deoarece aproape orice altceva se bazează pe DNS. Prin urmare, nu ar trebui să permitem erorilor tehnice sau încărcărilor mari ale unui server recursiv să afecteze performanța acestui sistem.
Prevenirea exactă a acestei situații, în care un server de nume încetează să mai fie autorizat pentru domeniu, dar configurația locală îl menține să răspundă cu autoritate și, eventual, cu înregistrări învechite.
