Merită să instalați și să configurați fail2ban pentru un server DNS autorizat Bind9?

hancack

17.04.2023, 10:34

În infrastructura proiectului nostru avem un server de nume, bazat pe bind9. Acest server de nume este configurat ca principal și autorizat, deci este destul de important. Întrebarea este, ar trebui să instalez și să configurez fail2ban în scopul de a proteja acest server DNS? Merita? Am încercat să caut configurațiile fail2ban pentru Bind9/named, dar sunt doar câteva și se pare că nu este ceva ce oamenii fac (cel puțin postează) mult.

Dacă face vreo diferență, Bind9 rulează într-un container docker cu portul 53/udp expus.

120

0 + 0

numele domeniului

linux

gentoo

întărire

fail2ban

NiKiZe

17.04.2023, 11:03

Ce rost ar avea dacă este un serviciu public? (De asemenea, UDP poate fi falsificat, dar rețineți că DNS utilizează atât UDP, cât și TCP) Dacă DNS-ul primar este critic, atunci păstrați-l numai intern și expuneți doar un slave. adăugați, de asemenea, cel puțin un slave din site. (Le puteți obține gratuit la he.net și afraid.org)

Răspunde

hancack

17.04.2023, 11:49

@NiKiZe vă mulțumesc pentru o sugestie grozavă despre expunerea numai a sclavilor! Și în ceea ce privește instalarea fail2ban, m-am gândit că poate va adăuga ceva putere serverului prin blocarea adreselor IP suspecte sau așa ceva.

Răspunde

Patrick Mevzek

17.04.2023, 15:11

Definiți „suspect” :-) Există instrumente mici cu adevărat adaptate pentru DNS, așa că adesea este o idee proastă să puneți lucrurile în fața unui server DNS. Există 2 căi pe care le puteți urma: uitați-vă la caracteristica bind RRL, care limitează rata, iar pentru nevoi cu adevărat puternice uitați-vă la `dnsdist` care se află în fața serverelor de nume și permite controlul fin al traficului.

Răspunde

hancack

17.04.2023, 17:30

@PatrickMevzek Bănuiesc că un client, care încearcă să facă o cantitate excesivă de solicitări către server, ar putea intra într-o categorie „suspect”, nu știu :) În prezent, proiectul abia începe, așa că cred că ar fi în regulă să lași legat așa cum este, fără nicio protecție suplimentară. Mulțumesc pentru răspuns, cu siguranță voi arunca o privire la instrumentele pe care le-ați menționat!

Răspunde

djdomi

19.04.2023, 18:05

Practic, am creat o nouă regulă pentru spam, puteți arunca o privire la depozitul meu github https://github.com/djdomi/fail2ban-rules

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: Is it worth it to install and configure fail2ban for an Bind9 authoritative DNS server?

TH: การติดตั้งและกำหนดค่า Failed2ban สำหรับเซิร์ฟเวอร์ DNS ที่เชื่อถือได้ของ Bind9 นั้นคุ้มค่าหรือไม่

RO: Merită să instalați și să configurați fail2ban pentru un server DNS autorizat Bind9?

RU: Стоит ли устанавливать и настраивать fail2ban для авторитетного DNS-сервера Bind9?

VI: Có đáng để cài đặt và định cấu hình fail2ban cho máy chủ DNS có thẩm quyền Bind9 không?

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.