Стоит ли устанавливать и настраивать fail2ban для авторитетного DNS-сервера Bind9?

hancack

17.04.2023, 10:34

В инфраструктуре нашего проекта у нас есть сервер имен, основанный на bind9. Этот сервер имен настроен как первичный и авторитетный, поэтому он очень важен. Вопрос в том, должен ли я установить и настроить fail2ban для защиты этого DNS-сервера? Стоит ли оно того? Я попытался найти конфигурации fail2ban для Bind9/named, но их всего несколько, и похоже, что люди не так много делают (по крайней мере, публикуют).

Если это имеет значение, Bind9 работает в контейнере докеров с открытым портом 53/udp.

120

0 + 0

система доменных имен

линукс

Дженту

закалка

фейл2бан

NiKiZe

17.04.2023, 11:03

Какой в этом смысл, если это государственная служба? (также UDP можно подделать, но помните, что DNS использует как UDP, так и TCP) Если первичный DNS имеет решающее значение, оставьте его только внутренним и выставляйте только ведомое устройство. также добавьте хотя бы одного ведомого устройства вне сайта. (Вы можете получить их бесплатно на he.net и Fear.org)

Ответить

hancack

17.04.2023, 11:49

@NiKiZe спасибо за отличное предложение о разоблачении только рабов! А что касается точки установки fail2ban, я подумал, что, возможно, это добавит мощности серверу, заблокировав подозрительные IP-адреса или что-то в этом роде.

Ответить

Patrick Mevzek

17.04.2023, 15:11

Дайте определение «подозрительному» :-) Существует немного инструментов, специально предназначенных для DNS, поэтому часто бывает плохой идеей помещать вещи перед DNS-сервером. Есть два пути, по которым вы можете пойти: посмотрите на функцию bind RRL, которая ограничивает скорость, и для действительно важных нужд посмотрите на `dnsdist`, который находится впереди на серверах имен и позволяет точно контролировать трафик.

Ответить

hancack

17.04.2023, 17:30

@PatrickMevzek Я думаю, что какой-то клиент, пытающийся сделать чрезмерное количество запросов к серверу, может попасть в категорию «подозрительных», я не знаю :) В настоящее время проект только начинается, поэтому я думаю, что было бы нормально оставить привязку без какой-либо дополнительной защиты. Спасибо за ваш ответ, я обязательно посмотрю инструменты, которые вы упомянули!

Ответить

djdomi

19.04.2023, 18:05

я в основном создал новое правило для спама, вы можете взглянуть на мой репозиторий github https://github.com/djdomi/fail2ban-rules

Ответить

Admin

Этот вопрос на других языках:

EN: Is it worth it to install and configure fail2ban for an Bind9 authoritative DNS server?

TH: การติดตั้งและกำหนดค่า Failed2ban สำหรับเซิร์ฟเวอร์ DNS ที่เชื่อถือได้ของ Bind9 นั้นคุ้มค่าหรือไม่

RO: Merită să instalați și să configurați fail2ban pentru un server DNS autorizat Bind9?

RU: Стоит ли устанавливать и настраивать fail2ban для авторитетного DNS-сервера Bind9?

VI: Có đáng để cài đặt và định cấu hình fail2ban cho máy chủ DNS có thẩm quyền Bind9 không?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.