امنیت dns روی سرور


#1

با درود. ما چند دامنه داریم که حداقل دو دامنه روی یک vps حالا ما برای ساخت DNS سرور از bind9 استفاده کردیم. حالا رفتیم سر امنیتش دیدیم که چندصد صفحه ای باید مطالعه کنیم تا امن بشه.

حالا چند سوال پیش می یاد:

۱. مثلا من از name.com می گیرم از خود قسمت دی ان اس منیجرش مستقیم بفرستمش روی آیپی سرور خودمون و از bind9 استفاده نکنم باز باید امنیت DNS رو انجام بدم چیزی یا خود name.com انجام می ده؟

۲. اگر من هر دامنه ای که روی سرور آوردم بعد دامنه رو بیارم روی کلود فلر امنیت DNS با کلود فلر می شه یا باز باید من کاری انجام بدم .

اگر این موارد صادق باشه بگید من بایند۹ رو منهدم کنم از سرور با تیپا بندازمش بیرون

با تشکر از شما


#3

من اصلا نمیدونم name.com چیه.
من دامنه‌ها رو روی cloudflare ست میکنم بعد از بخش تنظیمات dns کلادفلر ست میکنم روی IP سرورم.

برای تنظیمات cloudflare هم (اکانت free دارم و نزدیک ۱۰۰تا دامنه وصل کردم بهش) از این فایل استفاده میکنم (برای ست کردن هر دامنه، یه چیزایی رو تو این فایل تغییر میدم و آپلود میکنم رو cloudflare)



$TTL	14400
@	IN	SOA DOMAIN.COM.	hostmaster.DOMAIN.COM.	(
	2016110702
	14400
	3600
	1209600
	86400	)

DOMAIN.COM.			14400	IN	NS		ns1.DOMAIN.IR.
DOMAIN.COM.			14400	IN	NS		ns2.DOMAIN.IR.

ns1.DOMAIN.COM.		14400	IN	A		123.456.789
ns2.DOMAIN.COM.		14400	IN	A		123.456.789

DOMAIN.COM.			14400	IN	A		123.456.789
www				14400	IN	A		123.456.789
ftp				14400	IN	A		123.456.789
pop				14400	IN	A		123.456.789
smtp			14400	IN	A		123.456.789
mail			14400	IN	A		123.456.789

DOMAIN.COM.			14400	IN	MX		10 mail.DOMAIN.IR
DOMAIN.COM.			14400	IN	TXT		"v=spf1 a mx ip4:127.0.0.1 ~all"

localhost		14400	IN	A		127.0.0.1
localhost		14400	IN	AAAA	::1

اطلاعاتی که وارد کردم:
DOMAIN.COM دامنه‌ی سایتیه که داریم کانفیگش میکنیم.
DOMAIN.IR یه دامنه‌ی دیگست که به همین سرور وصله.
123.456.789 آی پی سروره.

نکته برای اینکه کسی ip واقعی سرورمون رو پیدا نکنه:
توی TXT record نباید آی پی واقعی سرور وارد بشه.
توی MX record و NS record نباید همین دامنه وارد بشه. باید یه دامنه‌ی دیگه که روی همین سروره وارد بشه.


#4

درود . پس شما روی سرور چیزی دیگه ای انجام ندادید درسته ؟ تمام کار هارو سپردید به کلود فلر ؟ من حدود ۱۲ تا دامنه روی کلود فلر دارم ولی همشون برای هاست های اشتراکی هستند که دی ان اس آماده داشتن به همین منظور برای دامنه مستقیم روی vps هنوز اقدام نکرده بودم

یک تکست رکورد دارم که اونم فقط مربوط به ایمیل هست توش اون امضای دیجیتالی می گند اونو گزاشتم که امتیاز ایمیل بره بالا

اینو که اصلا تو دامنه هام ندارم

این قسمت هم فکر کنم برای معرفی ایمیل باشه که برای هر دامنه هست . چطور لینک دیگه ای می دید؟

من برخی از دامنه های فعلی خودمو رو چک کردم دیدم اروری از طرف خود کلود فلر هم دارم که می گه

An A, AAAA, CNAME, or MX record is pointed to your origin server exposing your origin IP address.

اگر آموزشی برای انجام مراحل امنیتی روی کلود فلر دارید ویدیویی لطفا بزارید اینجا . خودمم باید برم کمی داکیومتشو برای سایت های جدیدم بخونم :disappointed_relieved::anguished::fearful:


#5

راستشو بخواید، یه زمان bind9 (named) نصب میکردم و با کلی دردسر کانفیگش میکردم. چون تعداد سایتها زیاده، فایل کانفیگ اصلی (/etc/named.conf یا یه همچین آدرسی) بزرگ میشه و تعداد فایلهای کانفیگ دامنه‌ها (/var/named/domain.com.conf یا یه همچین چیزی) هم زیاده. اینم سیستمش اینطوریه که یه کاراکتر اشتباه بنویسی کلا سایتها کار نمیکنن. بدبختی هم اینجاست که زمان میبره تا DNS وصل و قطع بشه (کش بروزر و…) واسه همین دیباگش خیلی سخت بود. (اگه اسکریپت آماده ای واسه کانفیگ و نوشتن این txtها وجود داشته باشه عالیه! ولی من چیزی سراغ ندارم)

اینو صرفا جهت اطلاع گفتم. چون خودم نمیدونستم. این تنها جاییه که IP سرور رو لو میده.

این فایلی که من اینجا گذاشتم، فایل کانفیگ bind9 خودم هست که ۳-۴ساله دنبال خودم میکشم و همیشه یه تیکه ازش ادیت میکنم و میذارم تو cloudflare یا کانفیگ named سرور. واسه همین چیزای اضافیشو پاک نکردم. نسخه‌ی اولیش هم از کانفیگ directadmin کپی کرده بودم :smiley:

میشه یه دامنه‌ی دیگه داد. اگه اون دامنه روی همین ip باشه که همه چیز اوکی هست. اگر هم نباشه مثل این میمونه که ما mail server خودمون رو روی یه سرور دیگه ران کردیم. (این کاریه که بعضیا واقعا انجام میدن!)

خوب این حل کردنش تابلوئه.
تو اون جدول پایین، یه علامت خطر توی اون ردیفی که مشکل داره میذاره.
این اروری که من میبینم، احتمالا به خاطر اینه که روی اون آیکون ابر سمت راست کلیک نکردید که دیتا از cloudflare رد بشه. عکس:

ببینم چی میشه :slight_smile: ببینم میتونم توضیح بدم یا نه. اگه دیدم مناسب ویدئو نیست، یه تاپیک براش میزنم همینجا.