最近、以下の理由で PCI コンプライアンス スキャンに失敗しました。
この DNS サーバーは、無制限のゾーン転送を許可します。攻撃者はこの情報を使用して、ネットワークの構造に関する知識を取得し、実際の攻撃の前にデバイスの検出に役立てることができます。
提案される解決策は次のとおりです。
この DNS サーバーを再構成して、ゾーン転送を特定の承認済みサーバーのみに制限します。
専用の Linux Centos サーバーを実行しています。
私の理解では、/etc/named.conf ファイルを編集する必要があるということです。実際に編集したところ、関連部分は次のとおりです。
options {
acl "trusted" {
127.0.0.1;
xxx.xxx.xxx.001; //this is one of the server's ip's
xxx.xxx.xxx.002; //this is another server's ip
};
allow-recursion {
trusted;
};
allow-notify {
trusted;
};
allow-transfer {
trusted;
};
};
その後、指定されたサービスを再起動し/etc/rc.d/init.d/named restartて再スキャンを要求しましたが、同じ理由で再度失敗しました。
ここで何か明らかなことを見逃しているのでしょうか?
答え1
構成ファイルの残りの部分 (ここに投稿していないもの) をチェックして、allow-transfer が問題のゾーン構成によって上書きされていないことを確認してください。