Eliminare gli errori dal log di Bind
Quando si mette in piedi un server è essenziale avere del logging affidabile e facilmente leggibile. In teoria tutti i servizi dovrebbero essere sotto analisi, in quanto non si sa mai la falla dove potrebbe presentarsi.
Il servizio di DNS non sfugge a questa regola; in alcuni casi però può portare ad un output di logging eccessivo facendoci arrivare alla “scrolling blindness”
Ci sono due cose in particolare che rendono molto verboso il logging di bind: l’uso di IPV6 e la ricorsione
Se nei log trovate continuamente righe del tipo:
network unreachable resolving A0.ORG.AFILIAS-NST.INFO/A/IN: 2001:500:3::42#53: 1 Time(s)
è perché il vostro Bind non sa come gestire gli indirizzi IPV6.
Per risolvere questo problema basta cambiare la configurazione con cui viene fatto partire il demone specificando “-4″ come opzione, di modo da farlo lavorare esplicitamente solo con indirizzi IPV4.
Un altro tipo di tipico logging ripetuto ed inutile (o quasi) è quello relativo alla ricorsione. Questo tipo di logging è quasi inutile, perché comunque sia ci avvisa del fatto che abbiamo lasciato disponibile la ricorsione. La ricorsione è in buona sostanza la possibilità di fornire risposte tramite il nostro DNS per le zone di cui non siamo autoritativi.
Per eliminare la ricorsione da Bind bisogna aggiungere
recursion no;
All’interno delle options nella configurazione principale di bind (/etc/bind/named.conf in ambiente Gentoo) e questo disabiliterà completamente la ricorsione per quel server.
Potrebbe darsi però che vogliamo tenerla attiva per alcuni client (probabilmente la nostra lan), in quel caso le righe da scrivere saranno leggermente diverse:
Sempre nel file di configurazione principale, prima della sezione options, andremo ad aggiungere un elenco di ip o sottoreti a cui permetteremo la ricorsione:
acl recurseallow { 192.168.1.15; 192.168.1.0/24 };
e la riga all’interno della sezione options invece che recurse no; diventa
allow-recursion { recurseallow; };
Ecco fatto
In due righe abbiamo ridotto il logging “inutile”, reso più leggibili i log e tappato una possibile falla nel sistema (anche se non molto preoccupante imho)
[...] ho scritto sull’altro blog (quello serioso) sono riuscito a far fuori delle innoque ma noiose righe di logging che [...]