Eliminare gli errori dal log di Bind

gennaio 31, 2010
By

Quando si mette in piedi un server è essenziale avere del logging affidabile e facilmente leggibile. In teoria tutti i servizi dovrebbero essere sotto analisi, in quanto non si sa mai la falla dove potrebbe presentarsi.

Il servizio di DNS non sfugge a questa regola; in alcuni casi però può portare ad un output di logging eccessivo facendoci arrivare alla “scrolling blindness”

Ci sono due cose in particolare che rendono molto verboso il logging di bind: l’uso di IPV6 e la ricorsione

Se nei log trovate continuamente righe del tipo:

network unreachable resolving A0.ORG.AFILIAS-NST.INFO/A/IN: 2001:500:3::42#53: 1 Time(s)

è perché il vostro Bind non sa come gestire gli indirizzi IPV6.

Per risolvere questo problema basta cambiare la configurazione con cui viene fatto partire il demone specificando “-4” come opzione, di modo da farlo lavorare esplicitamente solo con indirizzi IPV4.

Un altro tipo di tipico logging ripetuto ed inutile (o quasi) è quello relativo alla ricorsione. Questo tipo di logging è quasi inutile, perché comunque sia ci avvisa del fatto che abbiamo lasciato disponibile la ricorsione. La ricorsione è in buona sostanza la possibilità di fornire risposte tramite il nostro DNS per le zone di cui non siamo autoritativi.

Per eliminare la ricorsione da Bind bisogna aggiungere

recursion no;

All’interno delle options nella configurazione principale di bind (/etc/bind/named.conf in ambiente Gentoo) e questo disabiliterà completamente la ricorsione per quel server.
Potrebbe darsi però che vogliamo tenerla attiva per alcuni client (probabilmente la nostra lan), in quel caso le righe da scrivere saranno leggermente diverse:
Sempre nel file di configurazione principale, prima della sezione options, andremo ad aggiungere un elenco di ip o sottoreti a cui permetteremo la ricorsione:

acl recurseallow { 192.168.1.15; 192.168.1.0/24 };

e la riga all’interno della sezione options invece che recurse no; diventa

allow-recursion { recurseallow; };

Ecco fatto
In due righe abbiamo ridotto il logging “inutile”, reso più leggibili i log e tappato una possibile falla nel sistema (anche se non molto preoccupante imho)

Tags: , , , , ,

One Response to Eliminare gli errori dal log di Bind

  1. […] ho scritto sull’altro blog (quello serioso) sono riuscito a far fuori delle innoque ma noiose righe di logging che […]

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *


*