Недавно мне не удалось выполнить сканирование на соответствие стандарту PCI по следующим причинам:
Этот DNS-сервер разрешает неограниченную передачу зон. Злоумышленники могут использовать эту информацию для получения информации о структуре ваших сетей, чтобы помочь в обнаружении устройств до фактической атаки.
Предлагаемое решение выглядит следующим образом:
Перенастройте этот DNS-сервер, чтобы ограничить передачу зон только определенным авторизованным серверам.
Я использую выделенный сервер Linux Centos.
Насколько я понимаю, мне нужно отредактировать файл /etc/ named.conf, что я сделал, и соответствующая часть выглядит следующим образом:
options {
acl "trusted" {
127.0.0.1;
xxx.xxx.xxx.001; //this is one of the server's ip's
xxx.xxx.xxx.002; //this is another server's ip
};
allow-recursion {
trusted;
};
allow-notify {
trusted;
};
allow-transfer {
trusted;
};
};
Затем я перезапустил названную службу /etc/rc.d/init.d/named restart
и запросил повторное сканирование, которое снова не удалось по той же причине.
Я упустил что-то очевидное?
Проверьте оставшуюся часть вашего конфигурационного файла (который вы не публиковали здесь), чтобы убедиться, что allow-transfer не отменяется рассматриваемой конфигурацией зоны.