DNS bölgesinde localhost


15

İSS'miz harici DNS'imizi de barındırıyor. Varsayılan olarak localhost için bir giriş içerirler.

Örneğin: localhost.example.com. 86400 IN A 127.0.0.1

Onları kaldırmamı istediğimde bana zor zamanlar veriyor ve Bind'in işleyişinin bu olduğunu söylüyorlar.

Neden dahil olmasını isteyebileceğim konusunda biraz araştırma yapmaya çalıştım ama fazla bir şey bulamadım. Olası bir XSS saldırı vektörü olduğunu düşünen en az bir yer buldum. Alexa en iyi 20 web sitesi etki alanları aramalar yaptım ve çoğu böyle bir giriş yok ama bir çift yapmak oldukça yaygın gibi görünüyor. Bazıları bir girişe sahiptir, ancak 127.0.0.1'e işaret etmek yerine, başka bir dünyaya yönlendirilebilir IP adresini işaret ederler.

Her neyse, neden alan adım için bölgede locahost olmasını isterim? Sahip olmama sorunu var mı? Bununla ilgili en iyi uygulamalar var mı? Gerçekten farkında olmadığım varsayılan bir Bind şey mi?

Teşekkürler


İyi soru. Bunu daha önce hiç duymamıştım.
TomTom

Hatta benim ISSs bölge dosyasında bir "geri döngü" var. O NE LAN?
David Tonhofer

Yanıtlar:


13

localhost.example.com"localhost" isteklerinin internete sızmasını önlemek için bazen dahili DNS sunucularına dahil edilir (John Smith'in http://localhost/tarayıcısına yazdığı ve çözümleyicisinin hosts dosyasına bakmadığı için arama yolunu ekler ( example.com) & ad sunucularına neyin çözüleceğini sormaya başlar).

Bir yerel ana makine girişine sahip olmanız gerekmez (ve ISS'niz "BIND'ın çalışma şekli" olduğunu düşünürse yanlış yönlendirilmiş veya salaktır: BIND, bölge dosyasında ne olduğunu sunar ve localhostsatırı kaldırırsa, sunumu durdurur kayıt). Ücretsiz bir örnek olarak, localhost.google.comçözülmez ve bahis o etki alanı için NS BIND çalışıyor.

XSS vektörü hiç düşünmediğim bir şey, ancak endişe verici bir şey: genel DNS'nizde bir localhostgiriş olması, saldırıya uğramış herhangi bir makinenin "alan adınızda" (127.0.0.1'de bir web sunucusu çalıştırarak) olabileceği ve potansiyel olarak her tür kötü şey. Muhtemelen girişten kurtulmak için yeterince iyi bir neden.


1
Şahsen ben düşünüyorum ediyorum localhost.some.testbir başka kurbanı değil doğru nokta sonunu alma. Sahip olmanın ardındaki neden localhost.(noktaya dikkat edin!) Açıktır, ancak DNS bölgelerinde noktalar genellikle unutulur. Sonra kendi gizemli hayatına kavuştu.
poige

Localhost girişinin doğru olduğunu öneren tools.ietf.org/html/rfc1537 Genel DNS Veri Dosyası Yapılandırma Hataları'na bakın .
BillThor

1
Hayır, rfc1537 bunu belirtmez. Yineleyicilerin bir yerel ana bilgisayara sahip olması gerektiğini belirtir. bölge ve tersi için bir bölge. Hiçbir yerde bölgelerinizin bir yerel ev sahibi girişine ihtiyacı olduğu söylenemez.
Habbie

@BillThor bu diğer cevap yorum var RFC 1537 ve halefi (1912 RFC) alakalı - As Habbie söz bölge localhost. elimizdeki zannediyorsunuz şeydir, ancak sahip uygulama localhost kaydını hizmet verdiğimiz her bölgede düştüğünü iyilik. (Bu soru aslında bana RFC tavşan deliğini 5 yıl önce yönlendirdi, belki de cevabımı yeni RFC ve düşüncelerimi daha sonra yorumlayacağım :))
voretaq7

3

Dahili ad çözümlemenizin ad çözümlemesini düzgün işlediğini varsayarsak, localhost için herhangi bir DNS isteği hiçbir zaman harici DNS sağlayıcınıza gitmemelidir ve bu nedenle bu bir sorun oluşturmamalıdır.

Bunun bir nedeni neden birisi bir kez mutlak referansların yük ile berbat bir web yazma aracı kullanılırsa birisi kafamın üst kapalı düsünebilirz, bu yapardınız olduğunu http: // localhost , ama bu varsayar senin ISP ayrıca DNS kutularına da ev sahipliği yapıyordu ve uzun bir atış.

Ancak, RFC 1537 yapar belirtin:

Yerel etki alanının eklenip eklenmeyeceği konusunda kapsamlı tartışmalar yapılmıştır. Sonuç "yerel ev sahibi" idi. en iyi çözüm olurdu; verilen nedenler:

  • "localhost" un kendisi kullanılır ve bazı sistemlerde çalışması beklenir.

  • 127.0.0.1'in "localhost.my_domain" e çevrilmesi, bazı yazılımların istemediği zaman geri döngü arabirimini kullanarak kendisine bağlanmasına neden olabilir.

Ana bilgisayar içeren tüm alan adlarında "localhost" A kaydı olması gerektiğini unutmayın.

Kesinlikle söylemek gerekirse, ISS'niz yerel ana bilgisayarı eklemek için doğru, ancak tam nitelikli adı kullanmak için yanlış görünüyor.


5
RFC-1537, Note that ...dili silen RFC-1912 tarafından kullanılmıyor gibi görünüyor (1996'da fark etmeye başlayacağımız potansiyel XSS sorunlarına yanıt olarak tahmin ediyorum :) 1537 Neden BIND şablonlarında olduğunu açıklıyor.
voretaq7

Örneğin, example.com: localhost gibi bölgede böyle bir giriş olmalı. 86400 IN A 127.0.0.1; dönemi not edin
matthew


5 yıl sonra ama açıklığa kavuşturmaya değer: RFC 1912'nin 4.1'i, localhost bölgenin sunucuda var olması gerektiği açıktır (bu nedenle, sadece düz bir "localhost" isteği alırsa, zinciri bir sonraki sunucuya geçirmez), bu bir uzak dahil gelen ağlama localhostdiyelim içinde example.com(yaratma 'ın bölge localhost.example.comEğer gerektiğini söyleyerek eşit açık olan), değil çünkü olası istenmeyen yan etkileri yok. “Localhost” un kendi başına özel, büyülü, tam nitelikli bir alan olması beklentisi.
voretaq7

0

Noktanın ne olacağından emin değilim ... Varsayılan olarak, harici adres neredeyse her zaman localhost'u 127.0.0.1 ile eşleyen hosts dosyası tarafından geçersiz kılınacaktır.

Bununla birlikte, varsayılan bir BIND bölge dosyası bir localhost bölgesi içerir. Bunu hiç düşünmemiştim.


Bu localhost bölgesi değil (eğer o bölgenin yanlış yapılandırması değilse). Aynı zamanda fqdn 'localhost' da değil. ve genellikle yerel anasistemler dosyası tarafından geçersiz kılınmaz.
matthew
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.