Changes between Version 22 and Version 23 of HowTo/SakuraVpsSetup2
- Timestamp:
- Nov 28, 2013, 9:18:03 PM (11 years ago)
Legend:
- Unmodified
- Added
- Removed
- Modified
-
HowTo/SakuraVpsSetup2
v22 v23 76 76 * directory で指定したディレクトリは BIND が書き込み可能である必要がある。 "/var/named/chroot/var/named" を chmod g+w する。 77 77 78 === DNS cache poisoning (Kaminsky attack) への対処 === 79 80 '''(2013/11/28 追記)''' 81 82 名前解決の問い合わせに対して、自己解決しない場合に上位へ問い合わせを再起する設定になっている場合、このサーバー自体を DNS キャッシュサーバーとして利用できるようになる。デフォルトではその設定は有効になっているが、独自ドメイン対応のためだけに DNS を立てている場合には不要な設定である。その上、キャッシュも有効になっていると、 Kaminsky attack を受けてしまう状態となり、 DNS cache poisoning の踏み台にされてしまう。それはまずいので、 recursion は off にしておくべきである。 83 84 {{{ 85 options { 86 87 // ... 88 89 recursion no; 90 additional-from-cache no; 91 92 // ... 93 94 }; 95 }}} 96 78 97 === ゾーンの設定 === 79 98 … … 125 144 # SMTP Submission port 126 145 -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 587 -j ACCEPT 146 }}} 147 148 === SNMP ブロック対応 === 149 150 '''(2013/11/28 追記)''' 151 152 これまでの内容では SNMP を扱うポート 161, 162 の入力は REJECT していたが、 '''出力''' までは REJECT していなかったので、以下の行を設定に追加した。 153 154 {{{ 155 -A OUTPUT -m udp -p udp --dport 161 -j REJECT 156 -A OUTPUT -m udp -p udp --dport 162 -j REJECT 127 157 }}} 128 158