4.4. DNS소프트웨어 자체 취약점 해결하기
취약점을 가진 DNS서버로 운영중
OS에서 기본 제공하는 DNS는 보안에 취약점한 버전으로 데몬 다운되거나 해킹 당할수 있어 최신 버전으로 업그레이드 필요함.
BIND 버전별 취약점 http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=bind
패치법:
패치는 개발서버에서우선 테스트하고, 서비스 서버 적용 하도록 한다.
현재 버전 확인
# ./named-v
패치후 데몬이 안떠 장애가 발생되는 경우가 있으므로 기존 버전을반드시 백업한다.
# cp /usr/sbin/named /usr/sbin/named-995-esv
최신 BIND소스 다운로드와 설치 하기
최선 버전 확인하기 http://www.isc.org/
Centos의 경우 컴파일을 위해 gcc나 개발용 라이블러리를 필수로 사전 설치하도록 한다.
isc사이트에서 다운로드한다.
tmp# ftp ftp.isc.org
Connected to
ftp.isc.org
.
220 Welcome to
ftp.isc.org
.
Name (ftp.isc.org:root): ftp
Password: <enter>
ftp> cd isc
ftp> cd bind9
ftp> ls
ftp> cd 9.11.0rc1
ftp> mget bind-9.11.0rc1.tar.gz
ftp> quit
tmp# tar zxvf bind-9.11.0rc1.tar.gz
tmp# cd bind-9.11.0rc1
bind-9.11.0rc1# ./configure --prefix=/usr --sysconfdir=/etc ; make
--prefix=/usr 옵션 : named 가 /usr/sbin 에 있을경우
--sysconfdir=/etc 옵션 : named.conf가 /etc에 있을경우
bind-9.11.0rc1# make install
Makeinstall하면 자동으로 기존 named 에 Over-Write된다.
설치 완료후 버전 확인하기.
sbin#./named -v
BIND 9.11.0rc1
최신버전으로 설치후백업받아 두기
#cp named named-9110
다음
https://brunch.co.kr/@topasvga/210