14.DNS소프트웨어 자체 취약점 해결하기
4.4. DNS소프트웨어 자체 취약점 해결하기
취약점을 가진 DNS서버로 운영중
OS에서 기본 제공하는 DNS는 보안에 취약점한 버전으로 데몬 다운되거나 해킹 당할수 있어 최신 버전으로 업그레이드 필요함.
BIND 버전별 취약점 http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=bind
패치법:
패치는 개발서버에서우선 테스트하고, 서비스 서버 적용 하도록 한다.
현재 버전 확인
# ./named-v
패치후 데몬이 안떠 장애가 발생되는 경우가 있으므로 기존 버전을반드시 백업한다.
# cp /usr/sbin/named /usr/sbin/named-995-esv
최신 BIND소스 다운로드와 설치 하기
최선 버전 확인하기 http://www.isc.org/
Centos의 경우 컴파일을 위해 gcc나 개발용 라이블러리를 필수로 사전 설치하도록 한다.
isc사이트에서 다운로드한다.
tmp# ftp ftp.isc.org
Connected to
ftp.isc.org
.
220 Welcome to
ftp.isc.org
.
Name (ftp.isc.org:root): ftp
Password: <enter>
ftp> cd isc
ftp> cd bind9
ftp> ls
ftp> cd 9.11.0rc1
ftp> mget bind-9.11.0rc1.tar.gz
ftp> quit
tmp# tar zxvf bind-9.11.0rc1.tar.gz
tmp# cd bind-9.11.0rc1
bind-9.11.0rc1# ./configure --prefix=/usr --sysconfdir=/etc ; make
--prefix=/usr 옵션 : named 가 /usr/sbin 에 있을경우
--sysconfdir=/etc 옵션 : named.conf가 /etc에 있을경우
bind-9.11.0rc1# make install
Makeinstall하면 자동으로 기존 named 에 Over-Write된다.
설치 완료후 버전 확인하기.
sbin#./named -v
BIND 9.11.0rc1
최신버전으로 설치후백업받아 두기
#cp named named-9110
다음
https://brunch.co.kr/@topasvga/210
