<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN"> <HTML> <HEAD> <META NAME="GENERATOR" CONTENT="SGML-Tools 1.0.9"> <TITLE>DNS HOWTO: Opzioni di sicurezza di base</TITLE> <LINK HREF="DNS-HOWTO-7.html" REL=next> <LINK HREF="DNS-HOWTO-5.html" REL=previous> <LINK HREF="DNS-HOWTO.html#toc6" REL=contents> </HEAD> <BODY> <A HREF="DNS-HOWTO-7.html">Avanti</A> <A HREF="DNS-HOWTO-5.html">Indietro</A> <A HREF="DNS-HOWTO.html#toc6">Indice</A> <HR> <H2><A NAME="sicurezza"></A> <A NAME="s6">6. Opzioni di sicurezza di base</A></H2> <P><EM>Di Jamie Norrish</EM> <P> <P><B>Impostare le opzioni di configurazione in modo da ridurre i possibili problemi.</B> <P> <P>Ci sono pochi semplici passaggi che vi permetteranno di ridurre contemporaneamente problemi e carico sul vostro server. Il materiale qui presente non è molto più che un punto di partenza; se siete particolarmente interessati agli aspetti relativi alla sicurezza (e dovreste esserlo), consultate altre risorse in Internet (vedi <A HREF="DNS-HOWTO-11.html#bigger">l'ultimo capitolo</A>). <P> <P>Le seguenti direttive di configurazione appaiono in <CODE>named.conf</CODE>. Se una direttiva appare nella sezione <CODE>options</CODE> del file, si applica a tutte le zone elencate nel file. Se invece appare all'interno di una voce di <CODE>zone</CODE>, si applica solo a quella zona. Una voce di <CODE>zone</CODE> esclude automaticamente quella nella sezione <CODE>options</CODE>. <P> <H2><A NAME="ss6.1">6.1 Restringere i trasferimenti di zona</A> </H2> <P>Per fare in modo che un vostro server secondario possa rispondere alle richieste sul vostro dominio, esso dovrà essere in grado di trasferire le informazioni di zona dal vostro server primario. Pochissimi altri devono poterlo fare. Quindi è necessario usare l'opzione <CODE>allow-transfer</CODE> per restringere solo agli autorizzati i trasferimenti di zona, assumiamo ad esempio che 192.168.1.4 sia l'indirizzo IP di ns.friend.bogus e aggiungete voi stessi questa opzione a solo scopo di debug: <P> <HR> <PRE> zone "linux.bogus" { allow-transfer { 192.168.1.4; localhost; }; }; </PRE> <HR> <P> <P>Restringendo così i trasferimenti di zona vi assicurerete che agli esterni saranno disponibili solo le informazioni necessarie a identificare il vostro dominio e nulla di più; nessuno potrà avere ulteriori informazioni sulla vostra configurazione. <P> <H2><A NAME="ss6.2">6.2 Proteggersi contro lo spoofing</A> </H2> <P>Prima di tutto, disabilitate le interrogazioni dai domini che non sono vostri, lasciando questa possibilità solo alle macchine della vostra rete locale. Questo non solo previene un uso malizioso del DNS server, ma riduce anche l'uso non necessario del vostro server. <P> <HR> <PRE> options { allow-query { 192.168.196.0/24; localhost; }; }; zone "linux.bogus" { allow-query { any; }; }; zone "196.168.192.in-addr.arpa" { allow-query { any; }; }; </PRE> <HR> <P> <P>Inoltre, disabilitate le interrogazioni ricorsive, eccetto che dalle macchine locali. Questo riduce la possibilità di attacchi di "cache poisoning", con cui vengono inviati dati falsi al vostro server. <P> <HR> <PRE> options { allow-recursion { 192.168.196.0/24; localhost; }; }; </PRE> <HR> <P> <H2><A NAME="ss6.3">6.3 Far partire named con utente non-root</A> </H2> <P>Sarebbe una buona idea far partire named con un utente diverso da root, così un eventuale attacco riuscito potrebbe fare danni molto limitati. Prima dovrete creare un utente sotto cui far girare named, poi modificare tutti gli script che usate per farlo partire di conseguenza. Passate i nuovi nomi di utente e gruppo a named usando i flag -u e -g . <P> <P>Ad esempio, nella Debian GNU/Linux 2.2 modificherete lo script <CODE>/etc/init.d/bind</CODE> in modo da avere la seguente riga (quando l'utente <CODE>named</CODE> è stato creato): <P> <HR> <PRE> start-stop-daemon --start --quiet --exec /usr/sbin/named -- -u named </PRE> <HR> <P> <P>La stessa cosa può essere fatta con Red Hat e altre distribuzioni. <P> <P>Dave Lugo ha descritto una configurazione sicura "dual chroot" <A HREF="http://www.etherboy.com/dns/chrootdns.html">http://www.etherboy.com/dns/chrootdns.html</A> che potreste trovare interessante, rende il vostro named ancora più sicuro. <P> <HR> <A HREF="DNS-HOWTO-7.html">Avanti</A> <A HREF="DNS-HOWTO-5.html">Indietro</A> <A HREF="DNS-HOWTO.html#toc6">Indice</A> </BODY> </HTML>