Недавно я не прошел проверку на соответствие PCI по следующим причинам:
Этот DNS-сервер позволяет неограниченные передачи зон. Злоумышленники могут использовать эту информацию для получения знаний о структуре ваших сетей, чтобы помочь в обнаружении устройств до фактической атаки.
Предлагаемое решение следующее:
Перенастройте этот DNS-сервер, чтобы ограничить передачу зон только определенными авторизованными серверами.
Я использую выделенный сервер Linux Centos.
Насколько я понимаю, мне нужно отредактировать файл /etc/named.conf, что я и сделал, и соответствующая часть выглядит следующим образом:
options {
acl "trusted" {
127.0.0.1;
xxx.xxx.xxx.001; //this is one of the server's ip's
xxx.xxx.xxx.002; //this is another server's ip
};
allow-recursion {
trusted;
};
allow-notify {
trusted;
};
allow-transfer {
trusted;
};
};
Затем я перезапустил указанную службу /etc/rc.d/init.d/named restartи запросил повторное сканирование, которое снова не удалось выполнить по той же причине.
Я что-то упускаю из виду?
решение1
Проверьте остальную часть вашего файла конфигурации (которую вы здесь не опубликовали), чтобы убедиться, что allow-transfer не переопределяется конфигурацией рассматриваемой зоны.