Có đáng để cài đặt và định cấu hình fail2ban cho máy chủ DNS có thẩm quyền Bind9 không?

hancack

10:34, 17/04/2023

Trong cơ sở hạ tầng dự án của chúng tôi, chúng tôi có một máy chủ định danh, dựa trên bind9. Máy chủ tên này được cấu hình là chính và có thẩm quyền, vì vậy nó khá quan trọng. Câu hỏi đặt ra là tôi có nên cài đặt và cấu hình fail2ban với mục đích bảo vệ máy chủ DNS này hay không? Nó có đáng không? Tôi đã thử tìm kiếm các cấu hình fail2ban cho Bind9/có tên, nhưng chỉ có một số ít và có vẻ như đó không phải là thứ mà mọi người làm (ít nhất là đăng bài) nhiều.

Nếu nó tạo ra bất kỳ sự khác biệt nào, thì Bind9 đang chạy trong vùng chứa docker có cổng 53/udp bị lộ.

120

0 + 0

Hệ Thống Tên Miền

linux

gentoo

cứng lại

fail2ban

NiKiZe

11:03, 17/04/2023

Điều gì sẽ xảy ra nếu nó là một dịch vụ công cộng? (cũng có thể giả mạo UDP, nhưng hãy nhớ rằng DNS sử dụng cả UDP và TCP) Nếu DNS chính là quan trọng thì chỉ giữ nó ở bên trong và chỉ để lộ một nô lệ. cũng thêm ít nhất một nô lệ tại chỗ. (Bạn có thể lấy miễn phí tại he.net và Fear.org)

Hồi đáp

hancack

11:49, 17/04/2023

@NiKiZe cảm ơn bạn vì một gợi ý tuyệt vời về việc chỉ phơi bày nô lệ! Và về điểm cài đặt fail2ban, tôi nghĩ rằng có thể nó sẽ tăng thêm sức mạnh cho máy chủ bằng cách chặn các địa chỉ IP đáng ngờ hoặc thứ gì đó.

Hồi đáp

Patrick Mevzek

15:11, 17/04/2023

Xác định "đáng ngờ" :-) Có rất ít công cụ thực sự được thiết kế riêng cho DNS nên việc đặt mọi thứ trước máy chủ DNS thường là một ý tưởng tồi. Có 2 cách bạn có thể làm theo: xem xét tính năng RRL liên kết, giới hạn tốc độ và đối với các nhu cầu thực sự mạnh mẽ, hãy xem `dnsdist` nằm ở phía trước trên máy chủ định danh và cho phép kiểm soát tốt lưu lượng truy cập.

Hồi đáp

hancack

17:30, 17/04/2023

@PatrickMevzek Tôi đoán một số khách hàng đang cố gắng thực hiện quá nhiều yêu cầu tới máy chủ, có thể thuộc danh mục "đáng ngờ", tôi không biết :) Hiện tại dự án chỉ mới bắt đầu, vì vậy tôi đoán sẽ ổn nếu để nguyên ràng buộc mà không có bất kỳ biện pháp bảo vệ bổ sung nào. Cảm ơn câu trả lời của bạn, tôi chắc chắn sẽ xem xét các công cụ bạn đã đề cập!

Hồi đáp

djdomi

18:05, 19/04/2023

về cơ bản tôi đã tạo một quy tắc mới cho thư rác, bạn có thể xem qua kho lưu trữ github của tôi https://github.com/djdomi/fail2ban-rules

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Is it worth it to install and configure fail2ban for an Bind9 authoritative DNS server?

TH: การติดตั้งและกำหนดค่า Failed2ban สำหรับเซิร์ฟเวอร์ DNS ที่เชื่อถือได้ของ Bind9 นั้นคุ้มค่าหรือไม่

RO: Merită să instalați și să configurați fail2ban pentru un server DNS autorizat Bind9?

RU: Стоит ли устанавливать и настраивать fail2ban для авторитетного DNS-сервера Bind9?

VI: Có đáng để cài đặt và định cấu hình fail2ban cho máy chủ DNS có thẩm quyền Bind9 không?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.