În prezent rulez BIND numit pe serverele mele care se confruntă cu Internetul pentru a răspunde solicitărilor de interogări autorizate pentru domeniile mele. Deci, am configurat /etc/bind/named.conf.local după cum urmează, pentru a înregistra toate interogările care vin către serverele mele DNS:
[...]
Logare {
canal query.log {
fișierul „/var/log/named/query.log” versiuni 10 dimensiune 10m;
severitate depanare 3;
timp de imprimare da;
};
config categorie { default_syslog; };
interogări categorie { query.log; };
categorie implicită { null; };
};
Recent, serverele mele au început să înregistreze multe interogări care provin de la adrese IP din întreaga lume (vezi atacurile de amplificare DNS explicate la
https://www.linuxquestions.org/questions/linux-newbie-8/there-are-many-query-this-website-on-my-dns-server-4175676097/). Nu vreau să folosesc fail2ban pentru a împiedica acele adrese IP să facă interogări către serverele mele DNS, pur și simplu pentru că există prea multe adrese IP (mai mult de 500 de IP-uri au fost colectate în 24 de ore, de exemplu) și pare inutil să-mi completez iptables cu astfel de intrări inutile.
vreau doar numit să nu înregistreze potrivirea interogărilor ceva de genul acesta la interogare.log fișier (deoarece fișierul meu jurnal începe să se umple și să se rotească foarte rapid):
client .* (pizzaseo.com): interogare: pizzaseo.com ÎN RRSIG .*
Există o configurație în numit care îmi va permite să filtrez unele intrări de interogare înainte de a fi conectat la interogare.log?
M-am gândit să folosesc „conducte numite” pentru a le transmite toată ieșirea interogare.log printr-o grep comanda. Dar, acest lucru poate avea un efect negativ asupra demonului BIND dacă grep comanda moare cumva și „conducta numită” devine plină.
Rețineți că trebuie să înregistrez toate intrările (cu excepția acestui pizzaseo lucru) pentru alte scopuri/nevoi.
