Je reçois beaucoup de lignes réseau inaccessibles dans le fichier journal des messages de mon Centos. Ils semblent ne pas pouvoir se résoudre à certaines adresses que je n'ai aucune idée pourquoi mon serveur doit les résoudre en premier lieu. Quelqu'un pourrait-il me faire savoir l'origine d'une telle erreur? Suis-je sous attaque?
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving './DNSKEY/IN': 2001:503:ba3e::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving './NS/IN': 2001:503:ba3e::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:500:48::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:4f8:0:2::19#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:2f::f#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:500:2f::f#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:1::803f:235#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:500:1::803f:235#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:503:c27::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:503:c27::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:1a::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:4f8:0:2::20#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:500:60::29#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns1.isc.ultradns.net/A/IN': 2001:7fd::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns1.isc.ultradns.net/AAAA/IN': 2001:7fd::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'ns2.isc.ultradns.net/A/IN': 2610:a1:1014::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/A/IN': 2001:500:e::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:500:e::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/A/IN': 2001:500:40::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:500:40::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:502:4612::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.info/AAAA/IN': 2610:a1:1016::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.info/A/IN': 2610:a1:1016::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.co.uk/AAAA/IN': 2610:a1:1017::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.biz/A/IN': 2610:a1:1015::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.com/AAAA/IN': 2001:502:f3ff::e8#53
Oct 23 11:39:04 server named[1585]: client 93.113.174.225#46368: query (cache) 'Adobe.com/A/IN' denied
Oct 23 11:39:04 server named[1585]: client 93.113.174.225#23736: query (cache) 'Adobe.com/A/IN' denied
Oct 23 11:39:04 server lfd[1196]: SYSLOG check [Lga6AZUNsgZGaVQX]
Au fait, les options de mon named.conf sont comme ci-dessous si elles sont d'une quelconque aide:
options {
//listen-on port 53 { 127.0.0.1; };
//listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
//allow-query { localhost; };
allow-recursion { localnets; };
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
};
Aidez-moi!
Toutes les adresses sont IPv6. Semble un problème IPv6, vous n'avez probablement aucun réseau IPv6 configuré. Désactivez le support IPv6 dans Bind:
Modifiez/etc/sysconfig/named et définissez:
OPTIONS="-4"
Redémarrez ensuite bind:
service named restart
(depuis http://crashmag.net/disable-ipv6-lookups-with-bind-on-rhel-or-centos )
Êtes-vous attaqué? Je ne pense pas que vous ayez été compromis. Ces messages peuvent être normaux en fonction des services que vous exécutez (de toute façon, n'importe quel serveur est toujours sous une tentative d'attaque, les gens scannent Internet en essayant des exploits sur chaque serveur).
Il convient de noter que dans Debian Jessie avec systemd, l'option -4
Dans /etc/default/bind9
Peut être ignorée. Voir bug # 767798 .
Dans ce cas, vous devez modifier le fichier systemd bind9.service
:
Déplacez bind9.service pour éviter qu'il ne soit écrasé lors des mises à jour
cd /etc/systemd
find . -name "bind*" -delete
cp /lib/systemd/system/bind9.service system/
Modifiez system/bind9.service
Pour utiliser les options de /etc/default/bind9
.
$EDITOR system/bind9.service
Ajoutez EnvironmentFile=-/etc/default/bind9
Et modifiez ExecStart
pour inclure $OPTIONS
. (Je supprime -u bind
, Car sur Debian, il est déjà inclus dans $OPTIONS
)
Assurez-vous de conserver l'option -f
Nécessaire pour systemd. Voir cet diff
pour un exemple:
# diff -u1 /lib/systemd/system/bind9.service /etc/systemd/system/bind9.service
--- /lib/systemd/system/bind9.service 2015-12-14 21:12:28.000000000 +0100
+++ /etc/systemd/system/bind9.service 2016-02-08 15:34:59.634891951 +0100
@@ -6,3 +6,4 @@
[Service]
-ExecStart=/usr/sbin/named -f -u bind
+EnvironmentFile=-/etc/default/bind9
+ExecStart=/usr/sbin/named -f $OPTIONS
ExecReload=/usr/sbin/rndc reload
Et enfin
systemctl reenable bind9.service
service bind9 restart
Le problème est dû à une mise à jour de BIND dans Centos, il essaie d'utiliser IPv6 ainsi que IPv4.
La meilleure façon de le résoudre est d'utiliser IPv6 ou de configurer la liaison pour utiliser uniquement IPv4
dans /etc/named.conf set
OPTIONS="-4"
Cela l'arrêtera en utilisant IPv6 au démarrage et redémarrera DNS
service nommé redémarrage
Pour les commandes Ubuntu supérieures à 16.04: Sudo vi/etc/default/bind9
OPTIONS="-4 -u bind"
Pour moi, le problème causé par ce message était un peu plus grave. Lorsque le serveur est déconnecté d'Internet, vous en obtenez plusieurs par seconde. Si vous êtes déconnecté pendant longtemps, ils peuvent remplir le disque.
La solution évidente consiste à désactiver ce message particulier, non seulement pour IPv6 comme mentionné dans les autres solutions, mais pour tous les protocoles. Vous ne pouvez pas désactiver un message particulier dans bind, c'est donc aussi proche que possible:
logging {
category lame-servers { default_debug; quiet_syslog; };
channel quiet_syslog { severity notice; syslog daemon; };
};
De belles options, j'ai réalisé que ce journal apparaît lorsque vous utilisez les serveurs named.root fournis par www.internic.net/zones car certains de ces serveurs n'ont pas d'interfaces IPv6 en ligne.
Ce que j'ai fait, c'est travailler avec la strophe des redirecteurs dans mon fichier named.conf et ce journal n'apparaissait plus ou du moins jusqu'à présent.
Voici une partie de mon fichier named.conf. Comme vous pouvez le voir, j'ai commenté la section des conseils de zone. Et d'autres strophes parce que je travaille sur une configuration particulière.
// Start the options clauses
options {
listen-on-v6 {
none;
};
listen-on port 53 {
127.0.0.1;
192.168.1.0/24;
};
directory "/var/named";
// tkey-gssapi-keytab "/usr/local/samba/private/dns.keytab";
version "Not Currently Available";
auth-nxdomain yes;
empty-zones-enable no;
notify no;
forwarders {
208.67.220.220;
208.67.222.222;
};
allow-query {
127.0.0.1;
192.168.1.0/24;
};
allow-recursion {
127.0.0.1;
192.168.1.0/24;
};
allow-transfer {
none;
};
};
// Zone Clauses
// Root Servers to allow Recursion
//zone "." {
// Zone Clauses
// Root Servers to allow Recursion
//zone "." {
// type hint;
// file "named.root";
// };