那些遇到过的问题

bind9:禁用递归查询的错误日志记录

Iva*_*ica 6 domain-name-system bind

不经意间,我运行的 bind9 服务器是一个开放式解析器。哎呀。

现在已经几个月了,递归查询isc.org仍在传入。如果我的/var/log/syslog看起来不像这样,我不介意:

Jul  6 01:10:23 servername last message repeated 6 times
Jul  6 01:10:23 servername named[2580]: client YYY.YY.YYY.YYY#25345: query (cache) 'isc.org/ANY/IN' denied
Jul  6 01:10:23 servername named[2580]: client ZZZ.ZZ.ZZZ.ZZ#25345: query (cache) 'isc.org/ANY/IN' denied
Jul  6 01:10:23 servername last message repeated 7 times
Jul  6 01:10:23 servername named[2580]: client AAA.AAA.A.AAA#25345: query (cache) 'isc.org/ANY/IN' denied
Jul  6 01:10:23 servername named[2580]: client BBB.BB.BB.BBB#25345: query (cache) 'isc.org/ANY/IN' denied
Jul  6 01:10:23 servername last message repeated 6 times
Run Code Online (Sandbox Code Playgroud)

(人们可能会觉得有趣的是,上述消息都在一秒钟内出现......我不再这样做了。)

这真的,真的很难捕捉到系统上的另一个服务可能报告的任何真正的错误。

我想让 bind9 不再记录这些消息。我交叉手指,可以使日志中这些消息消失。

我可以通过什么方式禁用不允许递归出现在系统日志(或其他日志)中的消息?

servername:/etc/bind9# named -V
BIND 9.8.4-rpz2+rl005.12-P1 built with '--prefix=/usr' '--mandir=/usr/share/man' '--infodir=/usr/share/info' '--sysconfdir=/etc/bind' '--localstatedir=/var' '--enable-threads' '--enable-largefile' '--with-libtool' '--enable-shared' '--enable-static' '--with-openssl=/usr' '--with-gssapi=/usr' '--with-gnu-ld' '--with-geoip=/usr' '--enable-ipv6' 'CFLAGS=-fno-strict-aliasing -DDIG_SIGCHASE -O2'
using OpenSSL version: OpenSSL 1.0.1c 10 May 2012
using libxml2 version: 2.8.0

servernane:/etc/bind9# uname -a
Linux servername 3.2.0-4-686-pae #1 SMP Debian 3.2.35-2 i686 GNU/Linux
Run Code Online (Sandbox Code Playgroud)

澄清:

我对有关如何使“递归拒绝”类型消息静音的更详细示例感兴趣。

小智 6

关于禁用递归查询的所有绑定错误日志记录,例如“查询(缓存)'theswat.net/ANY/IN'被拒绝”

/etc/named.conf 中的以下内容将这些重定向到 /var/named/data/named.security,滚动日志的总大小限制为 15 兆字节。请注意,类别安全只是“批准和拒绝请求”。

logging {
        channel default_debug {
                    file "data/named.run";
                severity dynamic;
        };
        // Redirect all of those 'denied' logs for non-existing domains or external ones (we are 'recursion no;')
        //   logs to /var/named/data/named.security, up to 3 files of 5mbytes each
        //   independent hack_detect processes can then scan for flooders and known abusers and block their IPs
        channel hd_security {
                file "data/named.security" versions 3 size 5m;
                print-time yes;
                print-severity yes;
                print-category yes;
        };
        category security { hd_security; };
};
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

14614 次

最近记录:

11 年,7 月 前
相关归档
在 Linux DNS 服务器上运行防病毒软件。是否有意义? 41
Minecraft DNS SRV 记录正确设置 7
我可以为所有子域创建 CAA 记录吗 7
绑定和开放端口 5
您可以在 MS DNS 服务器上同步两个不同的域吗? 5
简单的挖掘输出? 4
免费的基于 Web 的 DNS 工具,用于查看 DNS 记录 3
暂时使用已知 IP 地址的 dns 0
辅助域名服务器 DNSSEC 0
如果域以 www 开头,则 DNS 查找不显示 -1
难疑归档
我们的安全审计员是个白痴。我如何给他他想要的信息? 2426
为什么“chmod -R 777 /”具有破坏性? 265
如何在不删除图像本身的情况下删除 Docker 中的图像标签? 213
您如何对网站进行负载测试和容量规划? 122
rm 在包含数百万个文件的目录上 118
在硬盘驱动器上钻孔是否足以使其数据无法恢复? 99
为什么 CA 根证书都是 SHA-1 签名的(因为不推荐使用 SHA-1)? 69
如何确保 OpenVPN 连接使用特定的 DNS? 60
如何删除 Amazon EC2 中的实例?更改配对密钥? 58
UPS 对于非生产设备是否值得? 56