Перестать быть уполномоченным для домена
Удалите зону из конфигурации BIND, т.е. удалите
зона "example.com" { мастер типа; файл "/etc/bind/db.example.com"; };
а затем перезагрузите конфигурацию с помощью
$ sudo rndc перезагрузить
Разделите авторитетную и рекурсивную инфраструктуру DNS.
У вас, вероятно, есть сервер имен 127.0.0.1 в вашей /etc/resolv.conf. Вы можете удалить его и добавить рекурсивные серверы имен, которые вы можете использовать в качестве преобразователей.
Хотя технически возможно иметь на одном сервере и рекурсивную, и полномочную роли, это не рекомендуется. Причин такой изоляции несколько:
Предотвращение атаки с усилением (RFC 5358, 4).
Предотвращение Отравление кеша DNS, хотя это в основном историческая причина, лучше всего объясненная в 3-м издании Немет Э., Снайдер Г., Сибасс С. и Хайн Т. (2000). Руководство по системному администрированию UNIX. Пирсон Образование. (Глава 16 СИСТЕМА ДОМЕННЫХ ИМЕН; Программное обеспечение BIND; Авторитетные и кэширующие серверы.):
В BIND4 и BIND 8 не рекомендуется использовать один сервер имен.
как авторитетный сервер для некоторых зон и как кэширующий сервер для
другие. Каждое имя работало с одной базой данных в памяти, и
перекрестное загрязнение могло произойти, если память была тесной и кэшировались данные
смешанные с достоверными данными. BIND 9 устранил эту проблему, поэтому
смешать.
За стабильность / балансировка нагрузки: авторитетные серверы имен являются важной частью Интернета, поскольку почти все остальное зависит от DNS. Поэтому мы не должны допускать, чтобы технические ошибки или высокие нагрузки на рекурсивный сервер влияли на производительность этой системы.
Предотвращение этой точной ситуации, когда сервер имен перестает быть авторитетным для домена, но локальная конфигурация заставляет его отвечать авторитетно и, в конечном итоге, с устаревшими записями.
