| 阅读上一个主题 :: 阅读下一个主题 |
| 作者 |
留言 |
jakeyzhou
半仙
注册时间: 2005-01-22
文章: 155
|
 发表于: Fri 2008-07-25 00:41:49 发表主题: DNS 重大漏洞升级 |
 |
|
系统版本是:FreeBSD 6.2 Release
原带的DNS版本是:bind-9.3.3
介于前阵子爆出的DNS重大漏洞,不得不将bind做一次升级
步骤是用了6.3 release的ports升级文件
下载下来后看到bind的版本是9.3.5-P1,上isc上查了一下,应该是打过补丁的版本了。
make&&make install后
发现一些命令变了位置
| 代码: | /usr/local/sbin/named
/usr/local/sbin/rndc-confgen
/usr/local/bin/host
/usr/local/sbin/dnssec-signzone
/usr/local/bin/nsupdate
/usr/local/sbin/rndc
/usr/local/sbin/lwresd
/usr/local/bin/dig
/usr/local/sbin/dnssec-keygen
/usr/local/sbin/named-checkzone
/usr/local/sbin/named-checkconf
/usr/local/bin/nslookup |
vi /etc/rc.conf
| 代码: | | 修改named_program="/usr/local/sbin/named" |
vi /etc/rc.d/named
| 代码: | | 修改command="/usr/local/sbin/named" |
启动bind
| 代码: | | /etc/rc.d/named start |
log出现:
| 代码: | Jul 25 00:38:44 ns1 named[37356]: starting BIND 9.3.5-P1 -c /etc/namedb/named.conf -t /var/named -u bind
Jul 25 00:38:44 ns1 named[37356]: command channel listening on 127.0.0.1#953
Jul 25 00:38:44 ns1 named[37356]: running |
bind运行正常
但log日志里会时不时的出现
| 代码: | Jul 25 00:39:06 ns1 named[37356]: the working directory is not writable
Jul 25 00:40:06 ns1 named[37356]: the working directory is not writable |
请教这是什么原因
多谢 |
|
| 返回页首 |
|
 |
jakeyzhou
半仙
注册时间: 2005-01-22
文章: 155
|
| 发表于: Fri 2008-07-25 00:44:37 发表主题: |
|
|
另外请教一下,有什么办法可以测试目前使用的版本已经安全?
万分感谢 |
|
| 返回页首 |
|
|
delphij
精神病
注册时间: 2002-08-07
文章: 8590
来自: Mountain View, California
|
| 发表于: Fri 2008-07-25 01:58:15 发表主题: |
|
|
如果是port安装的可以用portaudit -Fda来检查。另外你的FreeBSD版本太旧了,实际上多数情况用系统自带的就好了。
_________________
BSD是独立的一蹴,我们有自己的圈子,我们不以商业驱动,追求完美是我们的源动力,任何不好的代码都不能在这里存活。 |
|
| 返回页首 |
|
|
llzqq
道童
注册时间: 2004-07-16
文章: 439
|
| 发表于: Fri 2008-07-25 07:51:06 发表主题: |
|
|
Jul 25 00:39:06 ns1 named[37356]: the working directory is not writable
Jul 25 00:40:06 ns1 named[37356]: the working directory is not writable
设置相关目录对bind用户可写 |
|
| 返回页首 |
|
|
jakeyzhou
半仙
注册时间: 2005-01-22
文章: 155
|
| 发表于: Fri 2008-07-25 10:12:04 发表主题: |
|
|
谢谢两位的帮助
服务器是去年初架设的,由于是比较重要的生产机,因此一直没有升级过。 |
|
| 返回页首 |
|
|
jakeyzhou
半仙
注册时间: 2005-01-22
文章: 155
|
| 发表于: Fri 2008-07-25 12:14:34 发表主题: |
|
|
找到一个测试页面,可以检查你使用的DNS是否安全。
| 代码: | 网络安全产品和服务提供商IOActive安全研究员丹·卡明斯基(Dan Kaminsky)大约六个月前发现了域名系统的这一漏洞,并与微软、Sun和思科等业内巨头取得了联系,就解决方案问题展开合作。
每台与互联网相连的计算机都使用域名系统,其工作原理类似于电话系统将来电接入特定电话号码。
卡明斯基称:“人们应当关心此事,但不必恐慌,我们已尽可能争取到足够的时间,供人们测试和安装补丁。如此重大的问题以前从未有过。”
卡明斯基创建了一个网页,可供人们检查其电脑是否存在这个漏洞,网址为 |
www.doxpara.com |
|
| 返回页首 |
|
|
delphij
精神病
注册时间: 2002-08-07
文章: 8590
来自: Mountain View, California
|
| 发表于: Fri 2008-07-25 14:34:28 发表主题: |
|
|
这个问题很严重,但是多数媒体都是一些外行在跟风炒作。
如果你的服务器不运行缓存DNS,那么补不补其实都没关系,因为这个漏洞并不影响你(攻击客户机是可能的,但达不到杠杆的效果)。
_________________
BSD是独立的一蹴,我们有自己的圈子,我们不以商业驱动,追求完美是我们的源动力,任何不好的代码都不能在这里存活。 |
|
| 返回页首 |
|
|
jakeyzhou
半仙
注册时间: 2005-01-22
文章: 155
|
| 发表于: Fri 2008-07-25 15:21:06 发表主题: |
|
|
| delphij 写到: | 这个问题很严重,但是多数媒体都是一些外行在跟风炒作。
如果你的服务器不运行缓存DNS,那么补不补其实都没关系,因为这个漏洞并不影响你(攻击客户机是可能的,但达不到杠杆的效果)。 |
多谢您的指导
感觉是炒作的味道比较重,搞点有点世界末日的感觉-0-
本人的DNS服务器是跑着公司几个重要域名的解析,但因为没有关闭recursion(公司很多客户端包括驻外省市的办事处的客户端都用了自己DNS),因此现在要关闭递归有些不方便了,为了保全万一,只能打上了补丁。 |
|
| 返回页首 |
|
|
scyzxp
道童
注册时间: 2005-04-12
文章: 326
|
| 发表于: Fri 2008-07-25 16:24:23 发表主题: Re: DNS 重大漏洞升级 |
|
|
| jakeyzhou 写到: | 系统版本是:FreeBSD 6.2 Release
原带的DNS版本是:bind-9.3.3
介于前阵子爆出的DNS重大漏洞,不得不将bind做一次升级
步骤是用了6.3 release的ports升级文件
下载下来后看到bind的版本是9.3.5-P1,上isc上查了一下,应该是打过补丁的版本了。
make&&make install后
发现一些命令变了位置
| 代码: | /usr/local/sbin/named
/usr/local/sbin/rndc-confgen
/usr/local/bin/host
/usr/local/sbin/dnssec-signzone
/usr/local/bin/nsupdate
/usr/local/sbin/rndc
/usr/local/sbin/lwresd
/usr/local/bin/dig
/usr/local/sbin/dnssec-keygen
/usr/local/sbin/named-checkzone
/usr/local/sbin/named-checkconf
/usr/local/bin/nslookup |
vi /etc/rc.conf
| 代码: | | 修改named_program="/usr/local/sbin/named" |
vi /etc/rc.d/named
| 代码: | | 修改command="/usr/local/sbin/named" |
启动bind
| 代码: | | /etc/rc.d/named start |
log出现:
| 代码: | Jul 25 00:38:44 ns1 named[37356]: starting BIND 9.3.5-P1 -c /etc/namedb/named.conf -t /var/named -u bind
Jul 25 00:38:44 ns1 named[37356]: command channel listening on 127.0.0.1#953
Jul 25 00:38:44 ns1 named[37356]: running |
bind运行正常
但log日志里会时不时的出现
| 代码: | Jul 25 00:39:06 ns1 named[37356]: the working directory is not writable
Jul 25 00:40:06 ns1 named[37356]: the working directory is not writable |
请教这是什么原因
多谢 |
我们的早在上个星期就升级完成了
我们是手动编译的,升级也很方便。呵呵
_________________
-------------------------------
开源邮件技术社区
Tmail for FreeBSD技术支持社区
http://www.thismail.org
------------------------------- |
|
| 返回页首 |
|
|
delphij
精神病
注册时间: 2002-08-07
文章: 8590
来自: Mountain View, California
|
| 发表于: Fri 2008-07-25 17:22:57 发表主题: |
|
|
| 引用: |
本人的DNS服务器是跑着公司几个重要域名的解析,但因为没有关闭recursion(公司很多客户端包括驻外省市的办事处的客户端都用了自己DNS),因此现在要关闭递归有些不方便了,为了保全万一,只能打上了补丁。 |
这个……既然是重要域名的权威解析,就应该关闭recursion,这是DNS配置非常重要的一部分——权威解析和cache/recursion服务器不要混用。
_________________
BSD是独立的一蹴,我们有自己的圈子,我们不以商业驱动,追求完美是我们的源动力,任何不好的代码都不能在这里存活。 |
|
| 返回页首 |
|
|
jakeyzhou
半仙
注册时间: 2005-01-22
文章: 155
|
| 发表于: Fri 2008-07-25 17:40:13 发表主题: Re: DNS 重大漏洞升级 |
|
|
| scyzxp 写到: | 我们的早在上个星期就升级完成了
我们是手动编译的,升级也很方便。呵呵 |
呵呵,是比较简单,尤其用是BSD的ports机制
主要是重要的机器,以稳定第一,以前没有公布什么漏洞,就让他一直跑着,也就不想升什么最新版本了。 |
|
| 返回页首 |
|
|
jakeyzhou
半仙
注册时间: 2005-01-22
文章: 155
|
| 发表于: Fri 2008-07-25 17:41:52 发表主题: |
|
|
| delphij 写到: | | 引用: |
本人的DNS服务器是跑着公司几个重要域名的解析,但因为没有关闭recursion(公司很多客户端包括驻外省市的办事处的客户端都用了自己DNS),因此现在要关闭递归有些不方便了,为了保全万一,只能打上了补丁。 |
这个……既然是重要域名的权威解析,就应该关闭recursion,这是DNS配置非常重要的一部分——权威解析和cache/recursion服务器不要混用。 |
明白,看了这个要和他们尽量沟通一下了,回想去年关过一次,结果导致网管的电话被打爆,没法子又只能开了起来。 |
|
| 返回页首 |
|
|
bleakwind
道士
注册时间: 2005-01-07
文章: 813
来自: The Matrix
|
| 发表于: Thu 2008-07-31 13:01:04 发表主题: |
|
|
想问一下这个漏洞对客户端能产生攻击吗?如何攻击?
_________________
www.weaverdream.com
Am I alone? |
|
| 返回页首 |
|
|
jonsen
半仙
注册时间: 2007-10-29
文章: 128
|
|
| 返回页首 |
|
|
delphij
精神病
注册时间: 2002-08-07
文章: 8590
来自: Mountain View, California
|
| 发表于: Fri 2008-08-01 07:10:24 发表主题: |
|
|
| bleakwind 写到: | | 想问一下这个漏洞对客户端能产生攻击吗?如何攻击? |
代价很高(或者说,如果你能承受得起这样的代价的话,那么有更简单的办法来攻击),这个攻击是通过针对DNS缓存服务器进行攻击达到杠杆式攻击的效果。
_________________
BSD是独立的一蹴,我们有自己的圈子,我们不以商业驱动,追求完美是我们的源动力,任何不好的代码都不能在这里存活。 |
|
| 返回页首 |
|
|
|
常见问题
搜索
会员列表
团队
注册
个人资料
登录查看您的站内信件
登录
