http://blog.hero.org.tw/index.php zh-tw http://blog.hero.org.tw/post/70/ hero <hero_roa@hotmail.com> Wed, 16 Feb 2011 02:08:52 +0000 http://blog.hero.org.tw/post/70/
(1).如果是DHCP直接上網
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE

(2).如果是ADSL撥號上網
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.1.0/24 -j MASQUERADE

(3).如果是固定IP

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j SNAT –to-source 10.4.40.13（固定IP）

2./etc/network/interfaces文件配置
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

auto dsl-provider
iface dsl-provider inet ppp
pre-up /sbin/ifconfig eth1 up # line maintained by pppoeconf
provider dsl-provider

auto eth1
iface eth1 inet manual

auto eth0
iface eth0 inet static
address 192.168.1.1
netmask 255.255.255.0

3.配置客戶機網卡
iface eth0 inet static
address 192.168.1.3
netmask 255.255.255.0
gateway 192.168.1.1

如果在上面的服務器下再接一個服務器，配置於上面基本相同，例如：

1.同上(略)

2.配置外網的網卡
iface eth0 inet static
address 192.168.1.133
netmask 255.255.255.0
gateway 192.168.1.1 //指定上一台服務器IP

3.配置內網的網卡
iface eth1 inet static
address 192.168.1.134
netmask 255.255.255.0

4.配置其它客戶機網卡
iface eth0 inet static
address 192.168.1.135
netmask 255.255.255.0
gateway 192.168.1.133 //網關



轉貼內容來源: 用Debian的Iptables作簡單路由
Tags - 用debian的iptables做簡單路由(雙網卡) , debian , iptables , iptables做簡單路由 , 雙網卡 , 簡單路由 , 路由 ]]> http://blog.hero.org.tw/post/69/ hero <hero_roa@hotmail.com> Wed, 16 Feb 2011 02:04:34 +0000 http://blog.hero.org.tw/post/69/
  

#route add -net 192.168.10.0 netmask 255.255.255.0 dev eth0

  

#route add -net 192.168.20.0 netmask 255.255.255.0 dev eth1

  

上面的命令把發送給192.168.10.0網段的IP包交給eth0轉發，把192.168.20.0網段的IP包交給eth1轉發。如果還有可能有發送給其他目的IP的包，那麼你肯能希望設置一個“默認網關”：

  

#route add default gw 192.168.10.1

  

上面的命令把所有發送給其他目的IP的包都轉發給192.168.10.1，而如何轉發給192.168.10.1這個地址的規則已經在剛才的第一條命令中定義了（從eth0轉發）。一般情況下，默認網關已經自動設置好了，不用重複設置。可以用route命令加-n參數進行檢查。

  

如果要刪除某一條，命令格式為：

  

#route del -net 192.168.10.0 netmask 255.255.255.0

  

配置時的一種思路是把192.168.10.0網段路由至eth0，192.168.20.0網段路由至eth1，再設置默認路由。另一種思路是，只指定其中一個，然後把默認的0.0.0.0路由至另一個。其實效果一樣，就是兩種風格。


轉貼內容來源: Linux下配置雙網卡路由表
Tags - debian , 配置雙網卡路由表 , 路由表 , 雙網卡 , 配置 , debian配置雙網卡路由表 ]]> http://blog.hero.org.tw/post/68/ hero <hero_roa@hotmail.com> Tue, 15 Feb 2011 08:28:24 +0000 http://blog.hero.org.tw/post/68/
掛載命令(Mount)

掛載 MDF

mount -o loop -t iso9660 filename.mdf /media/cdrom


掛載 iso

mount -o loop -t iso9660 FILENAME.ISO /mnt/iso

Tags - debian , 掛載iso檔 ]]> http://blog.hero.org.tw/post/67/ hero <hero_roa@hotmail.com> Wed, 20 Oct 2010 14:41:18 +0000 http://blog.hero.org.tw/post/67/ Debian Squeeze 在這新版本裡，
已將root禁止登入X Window桌面環境，但文字模式還是可以登入的，

因為自己比較懶，習慣使用root登入比較方便，找了些資料終於成功登入root了，
修改步驟也非常簡單:

編輯 /etc/pam.d/gdm3

#vi /etc/pam.d/gdm3

將auth  required  pam_succeed_if.so user != root quiet_success註解起來，

#auth  required  pam_succeed_if.so user != root quiet_success

儲存後離開

之後登出或重開機就可登入root了
如編輯後還是無法登入，就需要passwd root
重新變更root密碼

Tags - debian , squeeze , 使用root登入x , window , 桌面環境 , 使用root登入xwindow桌面環境 ]]> http://blog.hero.org.tw/post/66/ hero <hero_roa@hotmail.com> Wed, 06 Oct 2010 03:05:41 +0000 http://blog.hero.org.tw/post/66/ {台北市是全球最多殭屍網路的城市（見小辭典）。根據賽門鐵克調查，台北市在一年內從亞太第一殭屍網路躍升為全球第一，  每天有三十四萬部電腦被遠端的駭客遙控進行犯罪行為，而使用者卻渾然不知。}

在台灣不管是企業公司、政府機關、一直到USER個人家庭電腦，最欠缺也最不注重的就是資訊安全的問題，很多公司不買防毒、不建置防火牆，讓網管們不知所措。
防火牆問題，曾經遇過一家客戶(模具代工廠)，本來資訊安全政策是能省則省，200多人的公司使用一台低階基本型的防火牆(價值7000 NT)，但是為了一張德商的合約書，德商規定貴公司未具有UTM中高階防火牆，這份合約就無法簽約，最後，購買了Sonicwall PRO3060的UTM防火牆，這時這家公司才知道資訊安全的重要性，人家外商最怕設計圖外流呀，這樣合約才順利的完成了，這就是台灣的風氣，在台灣會注重資訊安全的幾乎是以外商為主，不然就是已經受到攻擊後SERVER已漏洞百出，才知道痛的才會去"花大錢"建置資安設備。
在個人家庭裡，相信很多人一定都是直接將電腦的網路線插在ADSL的MODEM上，然後撥接上網，這時你自己電腦已經暴露在網際網路裡了，只要IPSCAN一下找到你的電腦，就可以進去抓取你的資料了，如遇到技術高深的高手，等著被植木馬囉~~一般要使用ADSL是絕對建議去3C賣場或網路購物買個寬頻IP分享器(一個幾百NT而已)來安裝，就可讓你擁有基本的防火牆，大大降低網路攻擊、病毒中標的風險，更可降低並保障自己的資料外洩等問題發生囉~~~!






Tags - 防駭 , 防毒 , 防火牆 , firewall , 資安 , 資訊安全 , 殭屍病毒 , 殭屍網路 , 駭客 ]]> http://blog.hero.org.tw/post/65/ hero <hero_roa@hotmail.com> Mon, 27 Sep 2010 05:14:30 +0000 http://blog.hero.org.tw/post/65/ 還在拜Google大神找KEY?

來用用微軟的[免費版]防毒軟體吧~~~~~

名    稱：Microsoft Security Essentials
功    能：包括防毒軟體、防間諜軟體及防各種惡意程式
授    權：免費 要通過正版驗證的唷
微軟官網：http://www.microsoft.com/security_essentials/
下載方式：點擊微軟官網的【立即下載】按鈕即可下載
官網介紹：
關於 Microsoft Security Essentials

Microsoft Security Essentials 為您的家用電腦提供即時防護，可防範病毒、間諜軟體及其他惡意軟體。

Microsoft 免費*提供 Microsoft Security Essentials 軟體下載，不但安裝簡單、使用方便，而且讓您的電腦永遠受到最新技術的保護。您一眼就能辨別電腦是否安全 — 綠色代表狀況良好，就是這麼簡單。

Microsoft Security Essentials 可以在背景安靜且有效率地執行，因此您能夠隨意使用 Windows PC，而沒有中斷或長時間等候電腦的問題。



微軟官網提到即將推出中小企業適用的版本 Microsoft Security Essentials

使用起來是不錯用，功能性是少了點，但防毒能力感覺起來是不錯的


Tags - 微軟 , 防毒軟體 , 微軟防毒軟體 , microsoft , security , essentials , microsoftsecurityessentials ]]> http://blog.hero.org.tw/post/64/ hero <hero_roa@hotmail.com> Thu, 23 Sep 2010 15:06:01 +0000 http://blog.hero.org.tw/post/64/ 现在我们就让这个功能在debian里起作用。




首先确保以下被满足

Power Management Support
CPU Frequency Scaling
'usrspace' cpufreq policy governor
AMD Opteron/Athlon64 PowerNow
我的PC的模块加载情况：
pure64[~]cat /proc/modules |grep freq
cpufreq_userspace 6216 2 - Live 0xffffffffa0272000
cpufreq_powersave 2240 0 - Live 0xffffffffa0270000
freq_table 5064 1 powernow_k8, Live 0xffffffffa01bf000
pure64[~]cat /proc/modules |grep k8
powernow_k8 10440 0 - Live 0xffffffffa01c2000

然后就简单了，apt-get install powernowd
设置开机自动运行powernowd就行了，一般不用加参数



cat /proc/cpufreq可以看CPU调速的策略
pure64[~]cat /proc/cpufreq
          minimum CPU frequency  -  maximum CPU frequency  -  policy
CPU  0      1000000 kHz ( 55 %)  -    1800000 kHz (100 %)  -  userspace

cat /proc/cpuinfo看当前CPU Mhz和bogomips
pure64[~]cat /proc/cpuinfo
processor    : 0
vendor_id    : AuthenticAMD
cpu family    : 15
model        : 31
model name    : AMD Athlon(tm) 64 Processor 3000+
stepping    : 0
cpu MHz        : 1004.598
cache size    : 512 KB
fpu        : yes
fpu_exception    : yes
cpuid level    : 1
wp        : yes
flags        : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush mmx fxsr sse sse2 syscall nx mmxext lm 3dnowext 3dnow
bogomips    : 1988.83
TLB size    : 1088 4K pages
clflush size    : 64
cache_alignment    : 64
address sizes    : 40 bits physical, 48 bits virtual
power management: ts fid vid ttp

可以看见空载的时候自动降低频率到1000Mhz左右，同样电压也会降低.
满载时频率自动提升，可以测试一下

$cat /dev/urandom > /dev/null$cat /proc/cpuinfopure64[~]cat /proc/cpuinfo processor  : 0vendor_id  : AuthenticAMDcpu family  : 15model    : 31model name  : AMD Athlon(tm) 64 Processor 3000+stepping  : 0cpu MHz    : 1808.277cache size  : 512 KBfpu    : yesfpu_exception  : yescpuid level  : 1wp    : yesflags    : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush mmx fxsr sse sse2 syscall nx mmxext lm 3dnowext 3dnowbogomips  : 3579.90TLB size  : 1088 4K pagesclflush size  : 64cache_alignment  : 64address sizes  : 40 bits physical, 48 bits virtualpower management: ts fid vid ttp
看每个频率对应电压可以dmesg|grep powernow-k8(不过由于nv_sata问题，我的dmesg里全是nv_sata error信息，下面是别人的）
$dmesg|grep powernow-k8

Jul 30 21:38:39 terry powernow-k8:    0 : fid 0x2 (1000 MHz), vid 0x12 (1100 mV)Jul 30 21:38:39 terry powernow-k8:    1 : fid 0xa (1800 MHz), vid 0x6 (1400 mV)Jul 30 21:38:39 terry powernow-k8:    2 : fid 0xc (2000 MHz), vid 0x2 (1500 mV)P.S.换了2.6.11,nv_sata问题解决了。pure64[~]dmesg |grep k8Linux version 2.6.11-9-amd64-k8 (root@athlon.lowpingbastards.de) (gcc version 3.4.4 20050314 (prerelease) (Debian 3.4.3-12)) #1 Sun Mar 27 12:58:31 CEST 2005powernow-k8: Found 1 AMD Athlon 64 / Opteron processors (version 1.00.09e)powernow-k8:    0 : fid 0xa (1800 MHz), vid 0x6 (1400 mV)powernow-k8:    1 : fid 0x2 (1000 MHz), vid 0x12 (1100 mV)另外2.6.11可以手动控制ondeman,powersave
Tags - amd64 , cool'n'quiet ]]> http://blog.hero.org.tw/post/63/ hero <hero_roa@hotmail.com> Thu, 16 Sep 2010 17:43:05 +0000 http://blog.hero.org.tw/post/63/
建議從最低版本開始更新，才不會有問題，如果是4.0版直上6.0會顯示失敗的，
目前使用起來沒有問題，介面也改變了一點，不過好像多了一些功能。



ns5gt_5.0.0r1.9


ns5gt_5.0.0r11


ns5gt_5.3.0r6.0


ns5gt_5.4.0r3a.0


ns5gt_5.4.0r18.0


ns5gt_6.2.0r7.0


以上為壓縮檔唷~要密碼的在留言吧
Tags - juniper , juniper netscreen , 5gt , netscreen 5gt , netscreen , 5gt , ns5gt , firmware , ns5gt 5.0.0r1.9 , ns5gt 5.0.0r11 , ns5gt 5.3.0r6.0 , ns5gt 5.4.0r3a.0 , ns5gt 5.4.0r18.0 , ns5gt 6.2.0r7.0 ]]> http://blog.hero.org.tw/post/62/ hero <hero_roa@hotmail.com> Thu, 16 Sep 2010 02:40:20 +0000 http://blog.hero.org.tw/post/62/
Iptable開PORT指令

iptables -L

Iptable查詢

Centos Bind vi /var/named/chroot/var/named/named.domain ]]> http://blog.hero.org.tw/post/61/ hero <hero_roa@hotmail.com> Sat, 11 Sep 2010 02:23:10 +0000 http://blog.hero.org.tw/post/61/ 內容

   1. 前言
   2. 實作環境
   3. 安裝及設定
         1. 步驟1.本機反解範例檔案 (localhost.rev)
         2. 步驟2.修改 DNS 設定檔 (named.conf)
               1. 步驟2-1.安全性設定 - 隱藏 BIND DNS 版本
               2. 步驟2-2.安全性設定 - 存取控制清單 ACLs
               3. 步驟2-3.限制來源查詢要求 (allow-query)
               4. 步驟2-4.限制來源查詢要求 (allow-recursion)
               5. 步驟2-5.限制特定 Zone 查詢要求 (allow-query)
               6. 步驟2-6.安全性設定 - Zone Transfer 限制
               7. 步驟2-7.進階性設定 - 代詢伺服器機制
         3. 步驟3.建立 named.weithenn.for 檔案 (Forward)
         4. 步驟4.修改服務設定檔 (rc.conf)
         5. 步驟5.修改本機 DNS 查詢設定檔 (resolv.conf)
         6. 步驟6.啟動 DNS 服務
   4. 安全性設定測試
         1. 測試1.隱藏 BIND DNS 版本
         2. 測試2.Zone Transfer 限制
   5. 參考
   6. Me FAQ

前言

DNS，Domain Name Service 主要目地為解決 Domain Name 與 IP Address 之間相互的對應問題，在網路世界間中的溝通其實就是使用 IP Address 來溝通 (就像是人類使用的身份證)，但一連串的數字這樣對人類來說太過於麻煩，因此便出現 Domain Name Service 服務來將 IP Address 轉換成人類可方便閱讀的 Domain Name，簡單來說就是例如： 您輸入的 Yahoo 網址 http://tw.yahoo.com 轉成 IP Address 以便連結到 Yahoo 的網頁伺服器，關於網域名稱服務可參考站內文章 DNS 伺服器的原理與運作流程

FreeBSD 5.3-RELEASE 起內建 Bind9 不但安全性相對提高，並也把 Chroot 功能給加了進來，比較不習慣的可能就是設定檔的路徑

/etc/namedb/               //原本設定檔實際路徑 (系統自動幫您連結至 Chroot 功能新路徑 /var 下)
/var/named/etc/namedb/     //Bind9 設定檔的實際路徑

實作環境

    * FreeBSD 6.x-RELEASE
          o FreeBSD 6.1、6.2-RELEASE
    * FreeBSD 5.x-RELEASE
          o FreeBSD 5.3、5.4-RELEASE
    * BIND 9.3.x
          o BIND 9.3.0、9.3.3

安裝及設定
步驟1.本機反解範例檔案 (localhost.rev)

執行下列指令產生本機反解範例檔案 localhost.rev，產生的範例檔案 (localhost.rev 及 localhost-v6.rev) 將產生於 /var/named/etc/namedb/master 目錄下。

#cd /var/named/etc/namedb/                          //切換路徑                
#sh make-localhost                                  //產生範例檔

步驟2.修改 DNS 設定檔 (named.conf)

修改 DNS 設定檔 named.conf

#vi /var/named/etc/namedb/named.conf                //編輯 named.conf 內容如下

步驟2-1.安全性設定 - 隱藏 BIND DNS 版本

為何要隱藏您的 BIND DNS 版本呢？ 原因在於有心人士可以透過先瞭解您 DNS 主機所運作的 BIND 版本來尋找相關漏洞攻擊程式，因此在 ISC BIND 建議下可透過設定來隱藏 BIND 系統版本。

options {
        directory       "/etc/namedb";
        pid-file        "/var/run/named/pid";
        dump-file       "/var/dump/named_dump.db";   //將資料庫內容 Dump 出來路徑 (執行rndc dumpdb)
        statistics-file "/var/stats/named.stats";    //統計資訊路徑 (執行rndc stats)
        version         "None of your business";     //當別人查詢您的 BIND 版本時顯示的文字內容

步驟2-2.安全性設定 - 存取控制清單 ACLs

我們可以利用設定存取控制清單 (ACL，Access Control List，) 功能來限制外來對 Domain 的查詢要求並且配合 Allow-Query 參數來限制所有或特定 Zone 的查詢要求。

acl "dns1.weithenn.org" { 61.60.59.58; };
acl "dns2.weithenn.org" { 61.60.59.57; };

步驟2-3.限制來源查詢要求 (allow-query)

DNS Server 僅回應列表中 IP Address 的查詢要求，這裡的 allow-query 限制為針對 DNS Server

options {
          allow-query { 168.95.192.1/32; 168.95.1.1/32; dns1.weithenn.org; dns2.weithenn.org; };
};

步驟2-4.限制來源查詢要求 (allow-recursion)

允許哪些來源可以使用 DNS Server 進行遞迴查詢動作。簡單說就是透過這台 DNS 來查詢任何資料，包含不是該 DNS 主機負責的 Zone 也代為查詢，您應該不想讓別人用您的 DNS Server 去探查別人的 DNS 主機資訊吧？

options {
          allow-recursion { 127.0.0.1/32; 61.60.59.58/32; };
};

步驟2-5.限制特定 Zone 查詢要求 (allow-query)

DNS Server 僅回應列表中 IP Address 的查詢要求，這裡的 allow-query 限制為針對區域 (Zone)，當您設定限制所有或特定 Zone 的查詢要求時，其特定 Zone 設定優先權將大為限制所有查詢要求。

zone "weithenn.org" {
        type master;
        file "master/named.weithenn.for";
        allow-query { dns2.weithenn.org; };        //僅回應這個 IP 的查詢要求
};

步驟2-6.安全性設定 - Zone Transfer 限制

DNS 架構下常需透過更新 Zone File 動作來更新 DNS Master 及 DNS Slave 間 Zone File 的資料，在信任網域下將 Zone File 資料列出是 OK 的，但若是能由外界進行查詢您 Zone 資料時將會演變為具有危險的行為，想想若有人知道您 Zone File 設定都一清二楚那他即可針對特定主機進行攻擊行為，因此限制您的 Zone Transfer 將更顯重要。比較常被忘記的部份為會記得設定 DNS Master 其 allow-transfer 對象為 DNS Slave，但別忘記了 DNS Slave 必須設定 allow-transfer { "none"; }; 避免您的 Zone File 從 DNS Slave 端被傳送出去這是比較容易被忘記的設定。

zone "weithenn.org" {
        type master;
        file "master/named.weithenn.for";
        allow-transfer { 61.60.59.57; };           //僅此 IP 能 Zone Transfer 此 Zone File
        allow-transfer { dns2.weithenn.org; };     //可配合 ACLs 使用
};

步驟2-7.進階性設定 - 代詢伺服器機制

代詢伺服器 (Forwarders) 機制為當您為您的站台指派代詢伺服器後，那麼所有對外的 DNS 查詢都會先送到您所指定的代詢伺服器，讓代詢伺服器利用快取資訊幫您快速回應 DNS 查詢，在台灣我們可設定全台最大的 DNS 快取伺服器其設定內容如下：

forwarders {
                168.95.192.1;
                168.95.1.1;
};

設定好 named.conf 後可利用 BIND 9 新增加的指令 named-checkconf 來檢查 named.conf 設定檔語法是否正確，若語法正確則執行完指令後將不會有任何訊息，若語法有錯會顯示錯誤訊息及行數。

/usr/sbin/named-checkconf                        //檢查 named.conf 語法是否有錯
                           -v                     //顯示 named-checkconf 版本

步驟3.建立 named.weithenn.for 檔案 (Forward)

建議您可複製剛才建立的反解範例檔案 localhost.rev 再進行修改可避免 keyin 錯誤。

    * SOA： 為標準區域中的第一筆記錄，之後括號 () 內為與次要 DNS 溝通的相關資訊，其數值單位為 (秒)
          o Serial： 區域版本編號
          o Refresh： 同步更新時間
          o Retry： 重試同步時間
          o Expire： 同步到期時間
          o Minimum： 最小快取存活時間

#vi /var/named/etc/namedb/master/named.weithenn.for   //建立正解檔內容如下
$TTL      86400
@       IN      SOA     user.weithenn.org. hostmaster.weithenn.org. (
                                      2005042601 ; Serial
                                      28800      ; Refresh
                                      14400      ; Retry
                                      3600000    ; Expire
                                      86400 )    ; Minimum
               IN      NS      gateway
               IN      A       61.60.59.58
gateway       IN      A       61.60.59.58
www           IN      A       61.60.59.58
mail          IN      A       61.60.59.58  
@             IN      MX  10  mail

設定好 named.weithenn.for 後可利用 BIND 9 新增加的指令 named-checkzone 來檢查 named.weithenn.for 設定檔語法是否正確，若語法正確則執行完指令後將不會有任何訊息，若語法有錯會顯示錯誤訊息及行數。

/usr/sbin/named-checkzone weithenn.org named.weithenn.for         //檢查語法是否有錯
/usr/sbin/named-checkzone -d weithenn.org named.weithenn.org      //開啟除錯功能
                           -v                                      //顯示 named-checkconf 版本

步驟4.修改服務設定檔 (rc.conf)

修改 /etc/rc.conf 中加入下列的設定以便在系統重新開機時時會啟動 DNS 服務

#vi /etc/rc.conf                                                  //編輯rc.conf內容如下
named_enable="YES"                                                //啟動 named 服務  
named_flags="-u bind"                                             //採用 bind 這個帳號來啟動 DNS 服務 (安全性設定)

步驟5.修改本機 DNS 查詢設定檔 (resolv.conf)

修改本機 DNS 查詢設定檔 /etc/resolv.conf 加上 Domain Name 及本機 IP Address，關於此設定檔詳細內容可參考站內文章 resolv.conf

#vi /etc/resolv.conf                                              //修改設定檔加入如下三行
domain weithenn.org
nameserver 127.0.0.1                                              
nameserver 61.60.59.58

步驟6.啟動 DNS 服務

請鍵入如下指令啟動 DNS 服務

#/etc/rc.d/named start                                            //啟動 DNS 服務
                  stop                                             //停止 DNS 服務
                  restart                                          //重新啟動 DNS 服務
                  rcvar                                            //顯示應該填入 rc.conf 的內容
                  reload                                           //重新讀取 DNS 設定檔
                  status                                           //顯示目前 DNS 狀態

安全性設定測試

剛才上面的安全性設定完成後，我們測試一下剛才的安全性設定是否生效
測試1.隱藏 BIND DNS 版本

透過下列指令來測試是否無法查詢到 BIND 版本 (DNS_Server就是您要測那一台的 domain name 或是 IP 也可以)，不過隱藏 BIND DNS 版本不代表就絕對安全，只是讓攻擊者無法馬上得知您的 BIND DNS 版本 (好讓他方便找該版本漏洞)。

#dig -t txt -c chaos VERSION.BIND DNS_Server

若設定正確則可看到回應 VERSION.BIND 就是您填入的內容，若沒設定好當然版本就被順利查詢到啦。

;; ANSWER SECTION:
VERSION.BIND.           0       CH      TXT     "None of your business" //隱藏版本成功
VERSION.BIND.           0       CH      TXT     "9.3.0"                 //隱藏版本失敗

測試2.Zone Transfer 限制

檢測方式 (以 nslookup 為例 )

#nslookup                                                               //進入 nslookup 交談模式
>server weithenn.org                                                    //指定以 weithenn.org 為 NS 做查詢
Default Server: weithenn.org
Address: 61.60.59.58    
>ls -d weitenn.org                                                      //檢查是否限制無法查尋 Zone File
[weithenn.org] ***
  Can't list domain weitenn.org: Unspecified error

參考

[FreeBSD Handbook-BIND9 and FreeBSD]

[FreeBSD 使用手册-BIND9 和 FreeBSD]

[ DNS系統的強化與保護]

[BIND - logging file not found - LinuxQuestions.org]

[サーバ設定手順・パソコントラブル解決・エラー解決・コマンド集・プログラミング／「GOBU」（ゴブ）]

[DNS/BIND Issue: “named: the working directory is not writable” | Slaptijack]

[named: the working directory is not writable - The FreeBSD Forums]
Me FAQ

Q1.logging channel 'security_log' file '/var/log/named/dns-security.log': file not found？

Error Message:

啟動 DNS 服務後，在系統訊息中看見如下錯誤訊息

#tail /var/log/messages
Jul 14 13:21:06 ms1 named[59648]: starting BIND 9.4.3-P2 -u bind -t /var/named -u bind
Jul 14 13:21:06 ms1 named[59648]: command channel listening on 127.0.0.1#953
Jul 14 13:21:06 ms1 named[59648]: the working directory is not writable
Jul 14 13:21:06 ms1 named[59648]: logging channel 'default_log' file '/var/log/named/dns-default.log': file not found
Jul 14 13:21:06 ms1 named[59648]: logging channel 'lamer_log' file '/var/log/named/dns-lamer.log': file not found
Jul 14 13:21:06 ms1 named[59648]: logging channel 'query_log' file '/var/log/named/dns-query.log': file not found
Jul 14 13:21:06 ms1 named[59648]: logging channel 'security_log' file '/var/log/named/dns-security.log': file not found
Jul 14 13:21:06 ms1 named[59648]: isc_log_open '/var/log/named/dns-default.log' failed: file not found
Jul 14 13:21:07 ms1 named[59648]: isc_log_open '/var/log/named/dns-query.log' failed: file not found
Jul 14 13:21:13 ms1 named[59648]: isc_log_open '/var/log/named/dns-lamer.log' failed: file not found

Ans:

原因在於設定檔中指定的路徑並非實體路徑，而是相對於 Chroot 服務的相對路徑，可看到 DNS 執行序為 -t /var/named 配合 named.conf 中指定的相對路徑才是最後 Log 寫入路徑。

#ps aux |grep named
bind     59648  0.0  0.5 20724 16852  ??  Ss    1:21PM   0:00.12 /usr/sbin/named -u bind -t /var/named -u bind

而 named.conf 設定檔中內容如下

logging {
    category lame-servers { lamer_log; };                            //在本DNS上查不到的記錄(遞迴查詢)
    category security{ security_log;};                               //安全記錄
    category queries { query_log;};                                  //查詢記錄
    category default {default_log;};                                 //BIND啟動記錄
    channel default_log {
        file "/var/log/named/dns-default.log" versions 10 size 20m;  //此 Log 寫入路徑為 /var/named/var/log/named/dns-default.log (修改前)
        file "/var/log/dns-default.log" versions 10 size 20m;        //此 Log 寫入路徑為 /var/named/var/log/dns-default.log (修改後)
        severity info;
    };

Q2.the working directory is not writable？

Error Message:

啟動 DNS 服務後，在系統訊息中看見如下錯誤訊息

#tail /var/log/messages
Jul 14 15:18:01 ms1 named[64145]: starting BIND 9.4.3-P2 -t /var/named -u bind
Jul 14 15:18:01 ms1 named[64145]: command channel listening on 127.0.0.1#953
Jul 14 15:18:01 ms1 named[64145]: the working directory is not writable

Ans:

若您確定在 /var/named 下權限設定正確 (owner bind) 後啟動 DNS 服務仍看到錯誤訊息，請依如下步驟進行修改後再重新啟動 DNS 服務即可解決。

#vi /etc/mtree/BIND.chroot.dist
/set type=dir uname=root gname=wheel mode=0755             //預設值
/set type=dir uname=bind gname=wheel mode=0755             //修改後
#/etc/rc.d/named restart                                   //修改完成後重新啟動 DNS 服務

首頁 最新文章 FreeBSD 筆記 Linux 筆記 Windows 筆記 隨機文章 關於本站 遊山玩水
沙子地方 翔賀香腸 刊登廣告 刊登廣告 刊登廣告
本頁是唯讀的 參閱其他版本 管理 Oddmuse
最後編輯於 2009-07-22 11:14 CST 由 Weithenn

搜尋：
Go To Oddmuse OrgGo To FreeBSD OrgCreative Commons 2.5 Taiwansitestates.com
Tags - bind9 ]]>