谢谢!
解决方法 fail2ban不是“for http”,它是一个基于日志条目采取行动(如在防火墙上禁止IP)的框架.以下是我的DNS服务器的相关配置选项:named.conf中
logging { channel default_file { file "/var/log/named.log" size 10m; severity info; print-time yes; print-severity yes; print-category yes; }; category default{ default_file; };};
jail.local
(fail2ban的配置文件)
[named-refused-bsd-ipfw]enabled = truefilter = named-refusedaction = bsd-ipfwlogpath = /var/named/var/log/named.logmaxretry = 20bantime = 43200
请注意,这是一个使用IPFW(防火墙)的FreeBSD盒子.您将要使用action iptables并适当地命名规则.
您可能还需要更改日志路径,具体取决于您的安装.请注意,在我的示例中有不同的路径,因为BIND在jail中运行(chrooted到/ var / named).在监狱里奔跑会让事情变得更复杂,但是一旦你习惯了它就会变坏.
您还应该为日志文件设置某种日志轮换机制.
newsyslog.conf
/var/log/named.log bind:bind 644 7 * $W6D0 J /var/run/named/pID 1
您可能还想看看它是谁,它可能是一个开放的解析器(如Google,4.2.2.2-.4等).禁止他们并不禁止真正的“攻击者”.您可以使用dig -x 4.2.2.4对IP进行反向查找,看看是否有帮助.
总结以上是内存溢出为你收集整理的domain-name-system – 保护公共DNS免受攻击者攻击的最佳方法全部内容,希望文章能够帮你解决domain-name-system – 保护公共DNS免受攻击者攻击的最佳方法所遇到的程序开发问题。
如果觉得内存溢出网站内容还不错,欢迎将内存溢出网站推荐给程序员好友。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)