Làm Thế Nào Để Bảo Vệ Windows Khỏi Lỗ Hổng Dnsmasq?

     

Chỉ số chung của cục truyện: Mạng vật dụng tính cho bạn vừa và nhỏ: Giới thiệu

Xin chào những bạn!. Để hiểu và tuân theo đúng bài viết này là cần thiết đọc những người dân tiền nhiệm của nó:

Index

Giới hạn sử dụng Dnsmasq

Do tầm đặc trưng của nó, shop chúng tôi lặp lại HẠN MỨC cung ứng Dnsmasq -run người bầy ông dnsmasq- phản ánh đúng đắn tiếp theo:

HẠN MỨCCác giá trị mặc định cho giới hạn tài nguyên nói phổ biến là không nguy hiểm và phù hợp để áp dụng trên các thiết bị loại bộ định tuyến. Bị mắc kẹt với bộ xử lý chậm và bộ lưu trữ thấp. Trong phần cứng nhiều hơn thế có khả năng, có thể tăng số lượng giới hạn và cung cấp nhiều không chỉ có thế khách hàng. Điều sau vận dụng cho dnsmasq-2.37: các phiên bản trước không họ sẽ leo rất tốt.

Bạn đang xem: Làm thế nào để bảo vệ windows khỏi lỗ hổng dnsmasq?

Bạn sẽ xem: các lỗ hổng gian nguy trong ứng dụng dnsmasq Được phát, linux — xác minh thông số kỹ thuật dnsmasqDnsmasq có chức năng hỗ trợ DNS và DHCP tối thiểu một ngàn (1,000) khách hàng. Thời gian thuê không được thừa ngắn (ít hơn 1 thời gian). Hoàn toàn có thể tăng cực hiếm của –dns-forward-max: ban đầu bằng tương tự với số lượng quý khách và tăng thêm nếu DNS. Xem xét rằng năng suất DNS cũng phụ thuộc vào sever DNS ngược dòng. Kích thước bộ nhớ lưu trữ cache DNS hoàn toàn có thể được tăng lên: số lượng giới hạn Yêu mong là 10,000 tên cùng mặc định (150) là vô cùng thấp. Gửi SIGUSR1 tới dnsmasq khiến cho thông tin về bitacore hữu dụng để điều khiển và tinh chỉnh kích thước bộ nhớ lưu trữ cache. Coi phần GHI CHÚ để biết thêm chi tiết.Máy chủ TFTP tích hợp có chức năng hỗ trợ những lần truyền những tệp đồng thời: giới hạn tuyệt vời liên quan mang lại số trình cách xử trí tệp được phép so với một quá trình và khả năng của hệ thống‐tem gọi select () để cung ứng số lượng lớn những trình cách xử lý tệp. Nếu giới hạn được đặt khá cao với –tftp-max, nó sẽ bị giảm xác suất và giới hạn thực tiễn sẽ được đồng hồ khi khởi động. Lưu ý rằng chuyển nhiều hơn rất có thể khi và một tệp được giữ hộ đi khi những lần chuyển đổiferencia gửi một tệp khác. Rất có thể sử dụng dnsmasq để phủ nhận quảng cáo trên Web bằng cách sử dụng danh sách những máy chủ biểu ngữ nổi tiếng, toàn bộ đều phân giải thành 127.0.0.1 hoặc 0.0.0.0 vào / etc / hosts hoặc trong một tệp hosts bửa sung. Danh sách có thể rất dài. Dnsmasq đã được thử nghiệm thành công xuất sắc với một triệu tên. Size tệp đó nên CPU 1GHz với xấp xỉRAM 60MB.Dnsmasq có tác dụng hỗ trợ DNS với DHCP ít nhất một nghìn (1,000) khách hàng hàng.

Xem thêm: Độc Tính Trên Gen ( Genotoxicity Là Gì, Genotoxicity

Hãy thiết đặt và thông số kỹ thuật Jessie cùng Dnsmasq

dns: ~ # nano / etc / hosts127.0.0.1 localhost 10.10.10.5 dns.mordor.fan dns # những dòng sau là mong muốn cho các máy chủ cung cấp IPv6 :: 1 localhost ip6-localhost ip6-loopback ff02 :: 1 ip6-allnodes ff02 :: 2 ip6-allroutersroot dns: ~ # nano / etc / network / interface# Tệp này tế bào tả các giao diện mạng có sẵn trên hệ thống của chúng ta # và phương pháp kích hoạt chúng. Để hiểu thêm thông tin, hãy xem bối cảnh (5). Source /etc/network/interfaces.d/* # đồ họa mạng loopback auto lo iface lo inet loopback # hình ảnh mạng bao gồm allow-hotplug eth0 iface eth0 inet static address 10.10.10.5 netmask 255.255.255.0 network 10.10.10.0 broadcast 10.10.10.255. Những tùy lựa chọn 10.10.10.1 gateway 127.0.0.1 # dns- * được thực hiện bởi gói Resolutionvconf, nếu được thiết lập dns-nameserver XNUMX dns-search mordor.fan

Hãy thiết đặt Dnsmasq cùng htop

root dns: ~ # aptitude install dnsmasq htopSau khi thiết lập gói htop chúng ta có thể kiểm tra mức tiêu tốn CPU và bộ nhớ của thiết bị. Nó chỉ tiêu hao khoảng 71 megabyte RAM. Nếu bọn họ muốn sút mức tiêu thụ nhiều hơn nữa, chúng ta cũng có thể cài đặt gói SSMTP -đơn giản MTA- thứu tự xóa gói Exim4 Debian luôn thiết lập theo mặc định và cửa hàng chúng tôi thực sự ko cần theo cách sử dụng mà chúng tôi sẽ cung cấp cho máy chủ này:

root dns: ~ # systemctl khởi động lạiSau lúc khởi động lại thiết bị tính, mức tiêu hao như sau:

*

*

Để khám nghiệm các thông số kỹ thuật Dnsmasq rất có thể có trên sản phẩm tính của chúng ta dns.mordor.fan, công ty chúng tôi phải gồm một tuyên bố cho biết thêm rằng Microsoft DNS của máy chủ được tham khảo sauron.mordor.fan. Cửa hàng chúng tôi có thể có tác dụng điều đó bao gồm cả chỉ thị máy chủ = / mordor.fan / 10.10.10.3 vào kho lưu trữ dnsmasq.conf -như bọn họ sẽ coi sau- hoặc thêm dòng sever tên 10.10.10.3 trong kho tàng trữ / Etc / resolv.conf. Vì shop chúng tôi vẫn chưa định thông số kỹ thuật Dnsmasq theo nhu cầu của mình, chúng tôi chọn lựa cách thứ hai:

root Điều rất quan trọng là cần kiểm tra tốc độ phản hồi của Dnsmasq lúc hiển thị trạng thái của nó là Giao nhấn chỉ bằng phương pháp đưa IP 10.10.10.3 vào tệp của công ty / Etc / resolv.conf.Từ máy trạm hành bao gồm của tôi và cung ứng tất cả các vật dụng mà lại tôi viết, tôi chạy:

buzz sysadmin: ~ $ cat /etc/resolv.conf # Được tạo do NetworkManager máy chủ tên miền mordor.fan 10.10.10.5buzz sysadmin: ~ $Chúng ta hãy chăm chú kỹ hơn những khía cạnh sau:

Chúng là những đưa ra tiết nhỏ dại tạo đề nghị một tình yêu tuyệt đối hoàn hảo ;-).

Xem thêm: Nhóm Thực Vật Cam Bao Gồm Các Loại Cây Nào? Gồm Các Loài Cây Nào

Hãy chạy một vài truy vấn vấn DNS trên các bạn dạng ghi SOA y NS của miền mordor.fan, đến từng sever định danh có liên quan:

buzz chắc rằng đó là phần nhiều điểm khác biệt chính thân DNS của Dnsmasq và BIND ... Tuy nhiên BIND - luôn có thể có một hoặc các nhưng không có máy chủ DHCP tích vừa lòng liền mạch với máy chủ DNS trong một daemondvà không cần khóa TSIG, tệp cấu hình, cơ sở tài liệu Zone, v.v., như họ đã thấy trong các bài viết trước.

Có thể Dnsmasq + BIND?

Chắc chắn là có. Mặc dù tôi khuyên bạn nên thiết đặt chúng trên những máy tính không giống nhau để không xẩy ra xung tự dưng do cổng 53 của thương mại dịch vụ DNS rất được yêu thích. Có lẽ chúng ta sẽ thấy điều nào đấy về nó khi chúng ta đến với AD-DC dựa vào Samba 4. Ai biết được?

Mẹo về Dnamasq

Các tệp công việc cần thiết để Dnsmasq cung cấp dịch vụ DHCP cùng DNS trên mạng LAN là: /etc/dnsmasq.conf, / Etc / hosts, /var/lib/misc/dnsmasq.leases, cùng / Etc / resolv.conf. Tập tin dnsmasq.leases nó được tạo khi bạn thuê add IP trước tiên của mình.Một tệp quá trình khác mà chúng ta có thể sử dụng là / etc / ethers. Nếu một tệp như vậy tồn tại, lệnh tín đồ đọc được khai báo trong tệp cấu hình, yêu cầu Dnsmasq hiểu nó. Nó rất hữu ích khi họ liên hệ Địa chỉ MAC / tên sever cho những mục tiêu nhất định.Dịch vụ DNS rất có thể bị tắt trả toàn bằng phương pháp sử dụng lệnh cổng = 0 trong dnsmasq.conf.Dịch vụ DHCP cho một hoặc nhiều giao diện mạng hoàn toàn có thể bị vô hiệu hóa bởi các lệnh - một cho từng dòng- no-dhcp-interface = eth0, no-dhcp-interface = eth1, cùng như thế. Rất bổ ích khi chúng tôi làm bài toán trước một nhóm có từ 2 bối cảnh mạng trở lên trên và cửa hàng chúng tôi muốn thương mại dịch vụ DHCP chỉ được cung ứng bởi một trong những họ hoặc không ai cung cấp. Vớ nhiên, nếu công ty chúng tôi tắt dịch vụ thương mại DHCP cho tất cả các giao diện, chúng tôi sẽ chỉ để dịch vụ DNS chạy. Nếu bọn họ vô hiệu hóa cả nhì dịch vụ, thì tại sao bọn họ cần Dnsmasq?Chuyên mục: Tài liệu