我绑定了9.3.6。
我如何禁用主机名泄露?
问题链接http://www.iss.net/security_center/reference/vuln/bind-hostname-disclosure.htm
谢谢。
你可以这样隐藏主机名和版本 :
# /etc/named.conf options { // hide bind info hostname "unknown"; version "unknown"; }
主机名查询示例:
[vitalie@silver ~]$ dig @ns1.kappa.ro hostname.bind chaos txt ; <<>> DiG 9.3.6-P1-RedHat-9.3.6-4.P1.el5_5.3 <<>> @ns1.kappa.ro hostname.bind chaos txt ; (1 server found) ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46430 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0 ;; QUESTION SECTION: ;hostname.bind. CH TXT ;; ANSWER SECTION: hostname.bind. 0 CH TXT "linux.kappa.ro" ;; AUTHORITY SECTION: hostname.bind. 0 CH NS hostname.bind. ;; Query time: 6 msec ;; SERVER: 194.102.255.3#53(194.102.255.3) ;; WHEN: Wed Jan 5 15:08:14 2011 ;; MSG SIZE rcvd: 72
截至2010年12月18日,没有补救措施。“ 错,非常错误。 自2006年2月以来 (至less) 有一个修复 。 把它放在你的BINDconfiguration中(它可能已经在那里了):
options { version "none"; }
让我“制作”这个“特殊”的查询(不要在家尝试):
$ nslookup -q=txt -class=CHAOS authors.bind. localhost Server: localhost Address: 127.0.0.1#53 *** Can't find authors.bind.: No answer
有关保护BIND的更多信息,请参阅http://www.cymru.com/Documents/secure-bind-template.html
你可以通过把它放在named.conf中来禁用hostname.bind(在我使用的BIND 9.9中有效):
options { hostname none; }