Как я могу перестать быть моим сервером «открытым распознавателем DNS»?
Этим утром я получил письмо от своего интернет-провайдера, в котором говорилось, что мой Ubuntu Server (13.10) может использоваться в качестве «открытого преобразователя DNS». Они предлагают 3 возможных решения этой проблемы:
- Ограничить доступ к рекурсивным серверам
- Авторизационным серверам не разрешено реализовывать рекурсию
- Доступ к вашему серверу может быть ограниченным использованием брандмауэра
Итак, я провел некоторое исследование и обнаружил (через http://www.openresolver.jp/en/ ), что мой сервер действительно уязвим , Проблема, однако, заключается в том, что, согласно моему местонахождению, я никогда не устанавливал DNS-сервер на машине.
Прочитав немного больше, я обнаружил, что DNSMasq установлен по умолчанию, и люди предлагают его защитить, но я не могу найти какой-либо конфигурационный файл. Когда я запускаю ps aux | grep dnsmasq, я получаю:
server 21966 0.0 0.0 8172 952 pts/1 S+ 09:09 0:00 grep --color=auto dnsmasq
Кроме того, я чувствую, что моя служба OpenVPN может иметь к этому какое-то отношение. Мой сервер все еще уязвим даже после того, как я отключил свой сервис OpenVPN.
Я был бы благодарен всем, кто имеет какие-либо советы или советы о том, как сделать мой сервер безопасным, а также закрыть или обезопасить ответственную службу. Если мне не удастся решить проблему, мой провайдер отключит меня от сети.
2 ответа
Если у Вас нет сервиса для другого пользователя из Интернета на Вашем сервере простым sudo ufw enable. Состояние fw Вы видите с sudo ufw status. Это окажется Вами, приложение для брандмауэра со значением по умолчанию отклоняет всю политику для входящего трафика. Это также предотвратит, "Открывают преобразователь DNS" для разговора с Интернетом свободно
Я смог решить проблему путем снятия выделения с опцией, которая была включена по умолчанию на моем маршрутизаторе. После того, как я отключил опцию "Enable DNS Relay", я прошел тест в http://openresolver.com/ .
