Changes between Version 22 and Version 23 of HowTo/SakuraVpsSetup2

Timestamp:

Nov 28, 2013, 9:18:03 PM (11 years ago)

Author:

村山 俊之

Comment:

--

HowTo/SakuraVpsSetup2

@@ -76 +76 @@
    * directory で指定したディレクトリは BIND が書き込み可能である必要がある。 "/var/named/chroot/var/named" を chmod g+w する。
 
+=== DNS cache poisoning (Kaminsky attack) への対処 ===
+
+'''(2013/11/28 追記)'''
+
+名前解決の問い合わせに対して、自己解決しない場合に上位へ問い合わせを再起する設定になっている場合、このサーバー自体を DNS キャッシュサーバーとして利用できるようになる。デフォルトではその設定は有効になっているが、独自ドメイン対応のためだけに DNS を立てている場合には不要な設定である。その上、キャッシュも有効になっていると、 Kaminsky attack を受けてしまう状態となり、 DNS cache poisoning の踏み台にされてしまう。それはまずいので、 recursion は off にしておくべきである。
+
+{{{
+options {
+
+        // ...
+
+        recursion no;
+        additional-from-cache no;
+
+        // ...
+
+};
+}}}
+
 === ゾーンの設定 ===
 
@@ -125 +144 @@
 # SMTP Submission port
 -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 587 -j ACCEPT
+}}}
+
+=== SNMP ブロック対応 ===
+
+'''(2013/11/28 追記)'''
+
+これまでの内容では SNMP を扱うポート 161, 162 の入力は REJECT していたが、 '''出力''' までは REJECT していなかったので、以下の行を設定に追加した。
+
+{{{
+-A OUTPUT -m udp -p udp --dport 161 -j REJECT
+-A OUTPUT -m udp -p udp --dport 162 -j REJECT
 }}}