9.3.6 をバインドしました。
ホスト名の開示を無効にするにはどうすればいいですか?
問題リンクhttp://www.iss.net/security_center/reference/vuln/bind-hostname-disclosure.htm
ありがとう。
答え1
隠れることができますホスト名そしてバージョンこちらです:
# /etc/named.conf
options {
// hide bind info
hostname "unknown";
version "unknown";
}
ホスト名のクエリ例:
[vitalie@silver ~]$ dig @ns1.kappa.ro hostname.bind chaos txt
; <<>> DiG 9.3.6-P1-RedHat-9.3.6-4.P1.el5_5.3 <<>> @ns1.kappa.ro hostname.bind chaos txt
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46430
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;hostname.bind. CH TXT
;; ANSWER SECTION:
hostname.bind. 0 CH TXT "linux.kappa.ro"
;; AUTHORITY SECTION:
hostname.bind. 0 CH NS hostname.bind.
;; Query time: 6 msec
;; SERVER: 194.102.255.3#53(194.102.255.3)
;; WHEN: Wed Jan 5 15:08:14 2011
;; MSG SIZE rcvd: 72
答え2
「2010年12月18日現在、救済策はありません。」間違っている、まったく間違っている。 2006年2月から修正が行われている(少なくとも) これを BIND 設定に追加します (おそらく既に追加されています):
options {
version "none";
}
この「特別な」クエリを「作成」してみましょう (自宅でこれを試みないでください):
$ nslookup -q=txt -class=CHAOS authors.bind. localhost
Server: localhost
Address: 127.0.0.1#53
*** Can't find authors.bind.: No answer
BINDのセキュリティ保護の詳細については、以下をご覧ください。http://www.cymru.com/Documents/secure-bind-template.html
答え3
named.conf に以下を追加すると、hostname.bind を無効にすることができます (私が使用している BIND 9.9 で有効)。
options {
hostname none;
}