BIND буюу DNS серверийн тохиргоог хийхдээ дараах зүйлсийг анхаарвал илүүдэхгүй гэж бодол оо үүнд :
1. Тохиргооын файл болон Zone файлуудын permission
2. Access Control
3. Version
4. Zone file update notification
Яг оновчтой орчуулаад тайлбарлаж чадахгүй болохоор шууд л англи утгаар нь дөхүүлээд биччихлээ. Гэхдээ BIND-н тохиргоо хийж байгаа хүн бол хараад шууд ойлгоно гэж бодож байна хэхэ. Дашрамд асуухад ойлгоод байгаа хэрнээ олигтой тайлбарлаж чадахгүй байгаа нь яг аль тал нь хөгжөөгүй гэсэн үг вэ? Ерөнхий мэдлэг муу юм аа гэж өөртөө дүгнэлт өгөөд байгаа.
За асуудалдаа эргээд оръё.
1- р асуудал нь Файл permission-г дараах байдлаар тохируулвал зүгээр. Гол санаа нь хэн дуртай нь тохиргооны файл өөрчлөх эрхгүй мөн файлыг агуулгыг харах боломжтой ч өөрчлөөд байхгүй шаардлагагүй гэх мэт
named directory-н chown-г нь named:named
chmod нь 750
Zone файлуудынpermission-г 440,chown-г нь named:named-р тохируулж өгөөрэй.
2- р асуудал нь Access Control хандалтуудыг зохицуулах буюу хандалтуудыг IP хаягаар нь зааж оноож өгөх явал юм. Энэ тохиргоог хийхдээ тохиргооны файлд acl гэсэн түлхүүр үг ашиглан тохируулдаг бичих аргыг нь гүүгл-с хайвал ойлгоход хялбар жишээ олдоно гэж бодож байна. Мөн allow-transfer хэсэгт тодорхойлох боломжтой.
3- р асуудал нь DNS серверийнхээ Version-г бусдад мэдэгдэвэл халдлага хийхэд бас хялбар шуулж өгдөг гэнэ шүү. Яаж ч халддаг юм бүү мэд гэхдээ хялбар болгохуйн үүднээс тохиргооны файлдаа Version оо харагдуулахгүй байхаар тохируулах хэрэгтэй юм гэж. Доорх байдлаар
Options {
Directory “dns server conf dir bna”
Allow-transfer{
//tohiruulah
}
Version “”; // Version бусдад харуулахгүй буюу хоосон утга оноож байна
}
4- р асуудал нь Zone file update notification
Zone файлуудыг үүсгэх үед SOA гэсэн хэсэгт SERIAL тодорхойлж өгдөг, тодорхойлж өгсөн сериал-р Secondary DNS сервер нь Primary DNS серверт өөрчлөлт орсон эсэхийг шалгадаг. Тийм учираас Zone файлыг зассан дохиолдол SERIAL-г мөн дахин тодорхойлж өгөх шаардлагатай. Энэ хүү өөрчлөлтйиг шалгаж байх үед хугацааны хувьд хоцролт үүсдэг гэнэ. Энэ хооронд өнөөх хакерууд маань ажиллагаагаа явуулах боломжтой болдог учираас Zone файлд өөрчлөлт орсон дохиолдолд шууд Secondary серверт мэдээллэх зорилгоор notify гэсэн нэмэлт тохиргоог тодорхойлж өгдөг юм байна
Тодорхойлохдоо
Notify yes;
За дээрх 4-н тохиргоог хийвэл серверийнхээ аюулгүй ажиллагааг бага ч болов дээшлүүлсэнд тооцож болох бололтой юмдаг аа. 3,4-р тохиргоог хийгээгүй үед хэрхэн халдахыг нь үнэндээ мэдэхгүй юм мэддэг хүн байвал зааж өгөөрэй. Өөрийнхөө хийсэн тохиргоог шалгах гэсэн юм хэхэ. За бүгдэд нь амжилт буруу зөрүү юм бичсэн бол залруулж өгөөрэй гэж түмэнтээ хүсье.
2 санал,шүүмж:
Dajgui bichleg bn. RADIUS server-iin talaar meddeg bol onoliin tailbar ugch boloh uu
Сайн мэдэхгүй л дээ. Гэхдээ иймэрхүү онцлогтой юм шиг байна лээ.
Олон тооны сүлжээний төхөөрөмжийн нэгдсэн хяналтыг хийхэд амар байдаг юм шиг байгаан. Жишээлбэл олон тооны wirless access pointer-уудын хандалтуудыг хянах гэх мэт.
Бас нэг онцлог нь хянах сүлжээний төхөөрөмж бүртээ хэрэглэгчийн мэдээлэл бүртгэх шаардлага байдаггүй юм шиг байна лээ. Миний гадарлах юм ердөө л энэ.
Post a Comment