BINDのドメインネームシステムのDNS

のBIND(バークレーインターネットネームドメイン)は、インターネット上で最も使用されるDNSサーバーです。今日では、すべてのLinuxディストリビューションDNSサービスは、BINDパッケージにしています。
BINDと、任意のDNSサーバーとの問題でIPアドレスに名前を変換できるようにするために、他のDNSサーバーの全体の多くの通信し、そのためには、DNSパケットのフィルタリングは不可能ですがアドレスです。 DNSサービスは、インターネット接続に不可欠である;これで犠牲者にサービスを中断すると、攻撃者のDNSサーバーをダウンさせに大きな関心を示している。ただし、BINDのも、そのセキュリティの問題を知られている、そこに多くの脆弱なBINDサーバーが存在し、これを実際に実行してBINDを注意する必要があります。 http://mydns.bboy.net/surveyでDNSサーバーの調査、およびBINDの人気を示しています世の中に影響を受けるバージョンのはまだたくさんあるんです。ここにいくつかを、より安全なBINDを提供する上で私からのアドバイスです:

  • は、お使いのLinuxディストリビューションに付属のBINDのパッケージを使用しないでください。BINDのWebサイトから最新版をダウンロード()http://www.isc.org。
  • 場所BINDをchroot jailのです。これを行うにはBINDでは、攻撃者はサーバーのBINDを実行しているシェルを取得できるようにリモートから悪用可能な脆弱性から保護するための最良のものです。場合は、BINDのバージョンと、このような脆弱性にchrootしない場合は、発見されてお使いのLinuxサーバーをアップグレードする前には時間があるが危険にさらされる可能性があります上のすべてのデータです。
  • は、常にパッチを適用するたびに、バグや新バージョンを発見されたBINDのアップグレードをしています。
  • 間のセキュアなゾーン転送、およびセカンダリDNSサーバーのDNSトランザクション署名(TSIG)を使用してプライマリ。
  • 再帰を無効にし、接着剤のDNSキャッシュ汚染に対する防御をフェッチする。
  

ただし、BINDをもっと普及して、簡単に設定がそれよりも、年間で安全であることが実証されて、TinyDNSを使用して、ご検討ください。

Apache Webサーバー

最も人気のあるWebサーバは、Apache、http://www.apache.orgで発見、これは過去にいくつかのセキュリティ問題があったかどうかは、Apacheのバグや、モジュールの脆弱性に追加されます。ここにいくつかをより安全に、Apacheサーバを提供することに私からのアドバイスです:

  • パッチサーバーおよびそれとして可能な限り日付を守るためにしてください。
  • アドインのすべてのサンプルスクリプトを削除モジュール(mod_phpを、mod_cgiのは、mod_perl、等)。
  • 場合は、他のスクリプト言語PHPは、CGIを実行して、ラッパープログラムをApacheで呼ばれるように、別のユーザーからスクリプトをコールするsuEXECの使用を検討する1つはApacheのための使用以外のID。
  • 許可しない信頼関係のない第三者によって、Webサーバに任意のスクリプトをアップロードします。
  • 記事を読むPHPBBのフォーラムなどの場合は、インストールするすべてのオープンソースプロジェクトのすべての脆弱性について、例えば。
  • ルートとしては、Webサーバーを実行しないでください。最小限の権限は、Webサーバーを実行すると、ユーザーを作成します。
  • Webサーバの応答トークンを変更します。これは、攻撃者が彼または彼女が実行しているWebサーバの種類を知っていませんが、ダウンさせるのは難しい。

バージョン管理システム

バージョン管理システムのソフトウェア開発者を同時に、同じファイルのセットで動作するように、ソースコードの異なるバージョンを管理するツールを提供します。
Linuxシステムでは、最も人気のあるバージョン管理システムのCVS(Concurrent Versions System以下)、多くのオープンソースソフトウェアのプロジェクトでは、pserverプロトコルを介して自分たちのCVSリポジトリへの匿名アクセスを許可する使用されるデフォルトのTCPポート2401上で実行されます。リモートアクセスでのCVSサーバは、次の脆弱性があります:

  • が特別に細工されたエントリの行によって引き起こされることが、ヒープベースのバッファオーバーフローです。コードは、CVSサーバーのセキュリティリストに出版され、攻撃者はCVSサーバー上で任意のコードを実行することができますエクスプロイト。
  • また、他のコマンドと関数は、認証済みユーザがサービス拒否が発生したり、CVSサーバ上で任意のコード実行に悪用される可能性がありますの実装ではいくつかの脆弱性があります。これらのいくつかの匿名ユーザーによって悪用されることがあります。

これらの脆弱性を保護するためには、次の手順を考慮します:

  • アップデートはCVSで最新の安定版リリースします。 CVSのhttp://www.cvshome.orgで発見することができます。
  • chroot jail内で実行してCVSサーバ。
  • CVSの設定の代わりにpserverプロトコルは、SSHプロトコルを使用する(これは)の平文のパスワードを送信します。
  • もし、あなたのCVSサーバへの匿名アクセスを許可しない2401番ポートのフィルタリングのみを信頼されたホストはそれに接続できるようにしてください。
  • anonymous読み取り専用のホストは、CVSサーバーはスタンドアロンでのみアクセスできるスタンドアロンシステム。
  • を実行して、あなたのCVSサーバーに対して攻撃を発表した。

は、Linux上での人気を得てもう1つのバージョン管理システムのsubversionです。 Subversionリポジトリをリモートのsvnプロトコルを介してアクセスすることができます。 svnサーバーは、デフォルトでTCPポート3690上で実行し、次の脆弱性が含まれています:

  • は、認証され、攻撃者によってSubversionサーバ上で任意のコードを実行するために悪用することができますヒープベースのバッファオーバーフローです。
  • スタックことによって引き起こされることができますベースのバッファオーバーフローを特別になる日回転さsvnコマンドで作成された。あまりにも認証され、攻撃者に任意のコードを実行することができますこの方法では。この脆弱性については、複数の脆弱セキュリティリストに掲載された。

これらの脆弱性に対するあなたのsubversionのサーバーを保護するためには、次の手順を検討する:

1。更新してsubversionのソフトウェアは、最新の安定版からhttp://subversion.tigris.org/。
2。構成のsubversionの代わりには、svnプロトコルのWebDAVを使用しています。
3。もし、あなたのSubversionサーバへの匿名アクセスを許可しない、TCPポート3690のフィルタリングをトラステッドホストのみ許可するようにしてください。
4。を実行してあなたのSubversionサーバに対する攻撃を発表した。
5。 anonymous読み取り専用のホストは、subversionサーバーの屋台でのみアクセスできるスタンドアロンシステム。

メール転送エージェント(MTA)の

Eメールはインターネット上で最も人気の高いサービスとほぼすべての部門で重要なサービスをされている会社です。のSMTP()は、インターネット上で最も古いプロトコルの一つであり、メール転送プロトコルの送信はMTAによって送信者から受信者に電子メールを送信するために使用されます。 SMTPでは、デフォルトでTCPポート25上では、リスニングの場合は、インターネット上の任意のメールアドレスからメールを受信するために使用されると、フィルタリングすることはできません。
最も人気のあるMTAのLinux用のは、Sendmail、これは、リモートMTAのサーバーへの侵入に悪用される可能性が、バッファオーバーランなどのセキュリティの問題が多かったです。 Sendmailに人気のある選択肢はPostfix、Qmailのに、Exim、およびCourier - MTAのです。
MTAは最も人気のある問題は次のとおり:

  • 脆弱性はリモートまたはローカルの攻撃者によって、サーバーは、MTAを実行して妥協するために使用することができますバッファオーバーランは、ヒープオーバーフロー、などなど。
  • Missconfigurationは、MTAのすべてのメールを送信するために使用することができます。これはオープンリレーと呼ばれます。オープンリレーとしてMissconfigured MTAはすぐに、スパマーの手で、一つの多くの電子メールサーバーをブラックリストに加えて、実際には、すべてのスパムをあなたの帯域幅を消費し、メールサーバーにすることによってあなたの会社に大きな損害を引き起こす可能性があります秋。場合は、オープンリレーでは現在参照してくださいにあなたのメールサーバーをチェックすることができます http://www.abuse.net/relay.htmlがある場合、スパマーは他の人にメールを送信するメールサーバーを使用して任意の方法では、一連のテストを実行してください。
  • ユーザーアカウントデータベースの情報開示の脆弱性。
記事は、フィリップクレア提出

免責事項:弊社のウェブサイトは、この資料の内容については責任を負いません。 Webarticles無料の情報リソースです。
重要: この記事は、"BINDのドメインネームシステムDNSの"自動ソフトウェアによって翻訳された。大変申し訳ございませんが発生した可能性があります任意のスペルミスを感じている。お客様のご理解いただき、ありがとうございます。


Online: 457 users browsing the articles directory