Sophie

Sophie

distrib > Mandriva > 9.1 > i586 > by-pkgid > f1098342ec4a2b28475e34123ce17201 > files > 155

howto-html-it-9.1-0.5mdk.noarch.rpm

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<HTML>
<HEAD>
 <META NAME="GENERATOR" CONTENT="SGML-Tools 1.0.9">
 <TITLE>DNS HOWTO: Opzioni di sicurezza di base</TITLE>
 <LINK HREF="DNS-HOWTO-7.html" REL=next>
 <LINK HREF="DNS-HOWTO-5.html" REL=previous>
 <LINK HREF="DNS-HOWTO.html#toc6" REL=contents>
</HEAD>
<BODY>
<A HREF="DNS-HOWTO-7.html">Avanti</A>
<A HREF="DNS-HOWTO-5.html">Indietro</A>
<A HREF="DNS-HOWTO.html#toc6">Indice</A>
<HR>
<H2><A NAME="sicurezza"></A> <A NAME="s6">6. Opzioni di sicurezza di base</A></H2>

<P><EM>Di Jamie Norrish</EM>
<P>
<P><B>Impostare le opzioni di configurazione in modo da ridurre 
i possibili problemi.</B>
<P>
<P>Ci sono pochi semplici passaggi che vi permetteranno di ridurre
contemporaneamente problemi e carico sul vostro server. Il materiale
qui presente non &egrave; molto pi&ugrave; che un punto di partenza; se siete 
particolarmente interessati agli aspetti relativi alla sicurezza
(e dovreste esserlo), consultate altre risorse in Internet
(vedi 
<A HREF="DNS-HOWTO-11.html#bigger">l'ultimo capitolo</A>).
<P>
<P>Le seguenti direttive di configurazione appaiono in <CODE>named.conf</CODE>.
Se una direttiva appare nella sezione <CODE>options</CODE> del file, si applica
a tutte le zone elencate nel file. Se invece appare all'interno di 
una voce di <CODE>zone</CODE>, si applica solo a quella zona. Una voce di 
<CODE>zone</CODE> esclude automaticamente quella nella sezione <CODE>options</CODE>.
<P>
<H2><A NAME="ss6.1">6.1 Restringere i trasferimenti di zona</A>
</H2>

<P>Per fare in modo che un vostro server secondario possa
rispondere alle richieste sul vostro dominio, esso dovr&agrave; essere
in grado di trasferire le informazioni di zona dal vostro server
primario. Pochissimi altri devono poterlo fare. Quindi 
&egrave; necessario usare l'opzione <CODE>allow-transfer</CODE> per restringere
solo agli autorizzati i trasferimenti di zona, assumiamo ad esempio
che 192.168.1.4 sia l'indirizzo IP di ns.friend.bogus e aggiungete
voi stessi questa opzione a solo scopo di debug:
<P>
<HR>
<PRE>
zone "linux.bogus" {
      allow-transfer { 192.168.1.4; localhost; };
};
</PRE>
<HR>
<P>
<P>Restringendo cos&igrave; i trasferimenti di zona vi assicurerete che 
agli esterni saranno disponibili solo le informazioni necessarie
a identificare il vostro dominio e nulla di pi&ugrave;; nessuno potr&agrave; 
avere ulteriori informazioni sulla vostra configurazione.
<P>
<H2><A NAME="ss6.2">6.2 Proteggersi contro lo spoofing</A>
</H2>

<P>Prima di tutto, disabilitate le interrogazioni dai domini che non sono vostri,
lasciando questa possibilit&agrave; solo alle macchine della vostra rete locale. 
Questo non solo previene un uso malizioso del DNS server, ma riduce anche
l'uso non necessario del vostro server.
<P>
<HR>
<PRE>
options {
      allow-query { 192.168.196.0/24; localhost; };
};

zone "linux.bogus" {
      allow-query { any; };
};

zone "196.168.192.in-addr.arpa" {
      allow-query { any; };
};
</PRE>
<HR>
<P>
<P>Inoltre, disabilitate le interrogazioni ricorsive, eccetto che 
dalle macchine locali. Questo riduce la possibilit&agrave; di attacchi di
"cache poisoning", con cui vengono inviati dati falsi al vostro server.
<P>
<HR>
<PRE>
options {
        allow-recursion { 192.168.196.0/24; localhost; };
};
</PRE>
<HR>
<P>
<H2><A NAME="ss6.3">6.3 Far partire named con utente non-root</A>
</H2>

<P>Sarebbe una buona idea far partire named con un utente diverso da root,
cos&igrave; un eventuale attacco riuscito potrebbe fare danni molto limitati. Prima
dovrete creare un utente sotto cui far girare named, poi modificare
tutti gli script che usate per farlo partire di conseguenza. Passate
i nuovi nomi di utente e gruppo a named usando i flag -u e -g .
<P>
<P>Ad esempio, nella Debian GNU/Linux 2.2 modificherete lo script
<CODE>/etc/init.d/bind</CODE> in modo da avere la seguente riga (quando
l'utente <CODE>named</CODE> &egrave; stato creato):
<P>
<HR>
<PRE>
start-stop-daemon --start --quiet --exec /usr/sbin/named -- -u named 
</PRE>
<HR>
<P>
<P>La stessa cosa pu&ograve; essere fatta con Red Hat e altre distribuzioni.
<P>
<P>Dave Lugo ha descritto una configurazione sicura "dual chroot"
<A HREF="http://www.etherboy.com/dns/chrootdns.html">http://www.etherboy.com/dns/chrootdns.html</A> che potreste
trovare interessante, rende il vostro named ancora pi&ugrave; sicuro.
<P>
<HR>
<A HREF="DNS-HOWTO-7.html">Avanti</A>
<A HREF="DNS-HOWTO-5.html">Indietro</A>
<A HREF="DNS-HOWTO.html#toc6">Indice</A>
</BODY>
</HTML>

Perl :: Catalyst :: PostgreSQL :: RPM Valid HTML 4.01 Transitional