BIND9 được cài đặt trên các điểm bảo mật của CentO

Câu hỏi của bạn quá rộng và thiếu quá nhiều chi tiết. Bạn nên xem RRL và RPZ như các tính năng liên kết có thể cung cấp ít nhất một phần của giải pháp, bên cạnh các ACL cơ bản (không chắc ý của bạn là gì đối với các ứng dụng khách bộ lọc: máy chủ định danh đệ quy của bạn không được mở cho cả thế giới, trong khi các máy chủ định danh có thẩm quyền của bạn thì có to) Tuy nhiên, bước đầu tiên của bạn là đảm bảo tách dịch vụ có thẩm quyền khỏi dịch vụ đệ quy.

@PatrickMevzek Cảm ơn câu trả lời của bạn, tôi sẽ xem xét RPZ, vì kiến ​​thức của tôi, tôi không nghĩ rằng chúng tôi có thể lọc các loại truy vấn như bản ghi A, địa chỉ IP của khách hàng, thành thật mà nói, tôi biết về tính năng RPZ, tôi nghĩ là không thể làm điều này và vì cổng UDP 53 đang mở, nếu một máy khách bị xâm phạm, làm cách nào chúng tôi có thể bảo vệ máy chủ dns khỏi các cuộc tấn công DNS đó, tôi không chắc PSAD có thể chặn và xác định các cuộc tấn công đó bằng chữ ký trong khi bạn có biết cách thực hiện không phát hiện các cuộc tấn công DNS hoặc sử dụng PSAD và iptables là đủ, không cần phải nắm bắt? và cảm ơn trước.

"nếu một khách hàng bị xâm phạm, làm cách nào chúng tôi có thể bảo vệ máy chủ dns khỏi các cuộc tấn công DNS đó" Dù bạn hỏi thế nào, trước khi chuyển sang giải pháp, bạn sẽ cần giải thích chính xác cuộc tấn công mà bạn đang cố gắng chống lại (không có danh sách giặt ủi) vì không rõ ràng những gì một khách hàng có thể làm với máy chủ DNS trong chế độ xem của bạn.

@Patrick Mevzek, tôi đồng ý rằng nó không được giải thích rõ ràng từ phía tôi, Vì vậy, giống như đường hầm DNS vì cổng udp 53 đang mở trong iptables, công cụ PSAD có thể xác định các cuộc tấn công dns dựa trên chữ ký không. Cảm ơn Patrick trước.

Câu hỏi này là trong các ngôn ngữ khác: