禁用綁定 9.3.6 主機名稱洩露

禁用綁定 9.3.6 主機名稱洩露

我已經綁定了9.3.6。

如何禁用主機名稱外洩?

問題連結http://www.iss.net/security_center/reference/vuln/bind-hostname-disclosure.htm

謝謝。

答案1

你可以隱藏主機名稱版本這邊走:

# /etc/named.conf
options {
    // hide bind info
    hostname "unknown";
    version "unknown";
}

主機名稱查詢範例:

[vitalie@silver ~]$ dig @ns1.kappa.ro hostname.bind chaos txt

; <<>> DiG 9.3.6-P1-RedHat-9.3.6-4.P1.el5_5.3 <<>> @ns1.kappa.ro hostname.bind chaos txt
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46430
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;hostname.bind.                 CH      TXT

;; ANSWER SECTION:
hostname.bind.          0       CH      TXT     "linux.kappa.ro"

;; AUTHORITY SECTION:
hostname.bind.          0       CH      NS      hostname.bind.

;; Query time: 6 msec
;; SERVER: 194.102.255.3#53(194.102.255.3)
;; WHEN: Wed Jan  5 15:08:14 2011
;; MSG SIZE  rcvd: 72

答案2

“截至 2010 年 12 月 18 日,尚無補救措施。”錯了,非常錯。 自 2006 年 2 月起已修復(至少)。將其放入您的 BIND 配置中(它可能已經存在):

options {
  version "none";
}

讓我「製作」這個「特殊」查詢(不要在家裡嘗試這個):

$ nslookup -q=txt -class=CHAOS authors.bind. localhost
Server:         localhost
Address:        127.0.0.1#53

*** Can't find authors.bind.: No answer

有關保護 BIND 的更多信息,請查看http://www.cymru.com/Documents/secure-bind-template.html

答案3

您可以將其放入named.conf中來停用hostname.bind(在我使用的BIND 9.9中有效):

options {  
  hostname none;  
}

相關內容