한국인터넷진흥원에서 메일을 받았습니다.

mysystem의 이미지

진흥원에서 BIND 보안 권고문 메일을 아래와 같이 받았습니다.

DNS서버의 Recursion query 서비스는 DDoS 공격에 악용될 수 있어, 네임서버 관리자는 Recursive query
서비스 대상을 신뢰된 호스트들로 제한시켜 피해를 최소화하는 사전 예방이 필요합니다.

조치방안은 아래와 같습니다.

□ 조치 방안

o DNS 관리자는 다음과 같은 보안권고 사항을 확인하여 DNS서버에 적용하도록 함
- Option 항목의 "allow-recursion" 지시어를 이용하여, Recursive query 서비스를 신뢰된
호스트들로 제한시킴
·신뢰할 수 있는 IP 대역이 192.168.1.0/24 일 경우, /etc/named.conf 에 아래와 같이 추가함

options {
acl trust { 192.168.1.0/24; };
allow-recursion { trust; };
};

- Option 항목의 "recursion" 지시어를 이용하여, Recursive query 서비스를 제공하지 않아도 될
경우 해당 서비스를 중지함
·/etc/named.conf 에 다음 아래와 같이 추가함.

options {
recursion no;
};

그래서, named.conf 에 아래 내용을 추가시켰습니다.

options {
acl trust { 192.168.1.0/24; };
allow-recursion { trust; };
};

위의 내용을 추가하고 재시작 했습니다.
그런데, 아래의 에러가 발생하더군요.

named (을)를 시작합니다:
Error in named configuration:
/etc/named.conf:18: 'options' redefined near 'options'

무언가 잘 못 된 것 같은데요..
named.conf 에 적용된 예시라도 알 수 있을까요?

ydhoney의 이미지

options 항목을 여러개 만들지 말고 기존의 설정파일 내에 있는 options 항목 내에 해당 내용인

acl trust { 192.168.1.0/24; };
allow-recursion { trust; };

를 추가해주세요. =_=

==
아 씨끄러 씨끄러~ 조용해!!
레드햇 9 이하 사용금지!

mysystem의 이미지

그렇게도 해봤는데..

그래도 에러가 나더군요..

ydhoney의 이미지

아 놔 이 ㅂㅅ 진흥원놈들..-_-

별 생각없이 보고 있었더니 낚였네요.

진흥원ㅂㅅ들이 보낸 메일의 내용을 보시면

options {
acl trust { 192.168.1.0/24; };
allow-recursion { trust; };
};

이렇게 되어있죠?

이걸 이렇게 바꾸시면 됩니다.

acl trust {
192.168.1.0/24;
};

options {
allow-recursion { trust; };
};

그러니까 options 항목은 기존의 options 에 추가해 주시면 됩니다.

그리고 allow recursion에 대해서는 굳이 사용하지 않으신다면 안쓰시면 됩니다. -_-

굳이 저렇게 하기 귀찮으시면 다음과 같이 하면 됩니다.

재귀질의 거부:

options {
allow-recursion {none};
};

아까 우리가 설정했던 내용들, 특정 대역에만 허락하는 부분이죠? IP나 대역 리스트를 적고 ; 이후 한칸 띄우는 방식으로 구분을 해서 나열해주시면 됩니다.

options {
allow-recursion {127.0.0.1; 192.168.1.0/24; };
};

진흥원 이것들은 하여간 뭐 맘에 들게 하는게 없군요. -_-

그리고 bind 9 버전 이상을 사용중이시라면 굳이 신경쓰지 않으셔도 됩니다. DNS Cache Poisoning은 DNS Bind 8버전 이하에서의 취약점에 속하기 때문입니다.

==
아 씨끄러 씨끄러~ 조용해!!
레드햇 9 이하 사용금지!

mysystem의 이미지

아무리 해봐도 않되길래 진흥원에서 보낸 메일이 틀린 것 같아 의심하고 있던 중이었습니다.
덕분에 해결했습니다.
감사합니다.

1day1의 이미지

allow-transfer { IP_number ; } ;

정도만 해줘도 되지 않나요?

F/OSS 가 함께하길.. (F/OSS서포터즈 : [[FOSS/Supporters]], [[FOSS/Supporters/Group]]) - 답글 프로젝트 : 왜! 이글에는 답글이 없나요? 덤으로 포인트도!! -

F/OSS 가 함께하길..

ydhoney의 이미지

밑에

allow-recursion {127.0.0.1; 192.168.1.0/24; };

를 적어드린거죠 :-)

==
아 씨끄러 씨끄러~ 조용해!!
레드햇 9 이하 사용금지!

댓글 달기

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.