14.DNS소프트웨어 자체 취약점 해결하기

4.4. DNS소프트웨어 자체 취약점 해결하기

취약점을 가진 DNS서버로 운영중

OS에서 기본 제공하는 DNS는 보안에 취약점한 버전으로 데몬 다운되거나 해킹 당할수 있어 최신 버전으로 업그레이드 필요함.

BIND 버전별 취약점 http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=bind

패치법:

패치는 개발서버에서우선 테스트하고, 서비스 서버 적용 하도록 한다.

1

현재 버전 확인

# ./named-v

패치후 데몬이 안떠 장애가 발생되는 경우가 있으므로 기존 버전을반드시 백업한다.

2

# cp /usr/sbin/named /usr/sbin/named-995-esv

3

최신 BIND소스 다운로드와 설치 하기

최선 버전 확인하기 http://www.isc.org/

4

Centos의 경우 컴파일을 위해 gcc나 개발용 라이블러리를 필수로 사전 설치하도록 한다.

isc사이트에서 다운로드한다.

tmp# ftp ftp.isc.org
Connected to

ftp.isc.org

.
220 Welcome to

ftp.isc.org

.
Name (ftp.isc.org:root): ftp
Password: <enter>

ftp> cd isc
ftp> cd bind9

ftp> ls
ftp> cd 9.11.0rc1

ftp> mget bind-9.11.0rc1.tar.gz

ftp> quit

tmp# tar zxvf bind-9.11.0rc1.tar.gz

tmp# cd bind-9.11.0rc1

bind-9.11.0rc1# ./configure --prefix=/usr --sysconfdir=/etc ; make

--prefix=/usr 옵션 : named 가 /usr/sbin 에 있을경우

--sysconfdir=/etc 옵션 : named.conf가 /etc에 있을경우

bind-9.11.0rc1# make install

Makeinstall하면 자동으로 기존 named 에 Over-Write된다.

설치 완료후 버전 확인하기.

5

sbin#./named -v
BIND 9.11.0rc1

최신버전으로 설치후백업받아 두기

#cp named named-9110

다음

https://brunch.co.kr/@topasvga/210

15. DNS 도메인 등록기관에 잠금설정하기