Argos

De Wiki_DR13
Aller à : navigation, rechercher

Configuration de BIND[modifier]

Les fichiers de configuration suivant se situent dans /var/bind9/chroot/etc/bind :

  • named.conf -> Configuration principale (ACLs)
  • named.conf.default-zones -> Zones par défaut définies dans les fichiers db.*
  • named.conf.local -> Zones associées au domaine
  • named.conf.options -> Options DNS (emplacement des fichiers de zone, port et adresse d'écoute,etc...)
  • named.conf.log -> politique de logging

Fichiers de zone[modifier]

Ils se trouvent dans /var/bind9/chroot/var/cache/bind

Configuration de RNDC[modifier]

Le fichier de configuration /etc/rndc.conf est un lien symbolique vers /var/bind9/chroot/etc/bind/rndc.conf

La clé rndc est contenue dans /var/bind9/chroot/etc/bind/rndc.key

Le WARNING suivant peut être ignoré : 

   WARNING: key file (/etc/bind/rndc.key) exists, but using default configuration file (/etc/bind/rndc.conf)

Vérifier si les services fonctionnent[modifier]

  • BIND
   sudo service bind9 status
  • UFW
   sudo service ufw status

Consulter les logs[modifier]

Afficher les logs de BIND : 

   tail -f /var/log/bind
   tail -f /var/log/bind-edns

Afficher les logs d'UFW : 

   tail -f /var/log/ufw.log

Configuration du firewall[modifier]

Visualiser l'état du firewall : 

   sudo ufw status verbose

Afficher les numéros de règles : 

   sudo ufw status numbered

Supprimer une règle en fonction de sa numérotation : 

   sudo ufw delete [numéro]

Ajouter une règle autorisant le protocole SSH depuis le réseau 10.1.7.0/24 : 

   sudo ufw allow proto tcp from 10.1.7.0/24 to any port 22

Une fois appliquées, les règles sont persistantes.

Blocage attaques DDoS[modifier]

Afin d'éviter de recevoir des requêtes DNS vers le domaine pizzaseo.com, la règle iptables suivante a été ajoutée à la configuration d'UFW dans /etc/ufw/before.rules 

   -A ufw-before-input -d 193.49.132.10 -p udp -m udp --dport 53 -m string --hex-string "|08|pizzaseo|03|com" --algo bm -j DROP -m comment --comment "Block pizzaseo.com"

Afin de prendre en compte les changements apportés à ce fichier, il est nécessaire de redémarrer UFW avec : 

   sudo service ufw restart

MAJ fichier root.hints[modifier]

Afin de mettre à jour les adresses des serveurs racine, on procédera comme suit : 

   wget --user=ftp --password=ftp ftp://ftp.rs.internic.net/domain/db.cache -O root.hints
   rndc reload
Récupérée de « https://wiki.dr13.cnrs.fr/wiki/index.php?title=Argos&oldid=10278 »