günlüklerimde (ağa erişilemiyor) hatası

20

Centos'un mesajlar günlük dosyasında çok sayıda ağa erişilemeyen satır alıyorum. Sunucumun neden ilk başta onlara çözüm bulması gerektiğine dair hiçbir fikrim yok. Biri bana böyle bir hatanın kaynağını bildirebilir mi? Saldırı altında mıyım?

Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving './DNSKEY/IN': 2001:503:ba3e::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving './NS/IN': 2001:503:ba3e::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:500:48::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:4f8:0:2::19#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:2f::f#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:500:2f::f#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:1::803f:235#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:500:1::803f:235#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:503:c27::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:503:c27::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:1a::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:4f8:0:2::20#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:500:60::29#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns1.isc.ultradns.net/A/IN': 2001:7fd::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns1.isc.ultradns.net/AAAA/IN': 2001:7fd::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'ns2.isc.ultradns.net/A/IN': 2610:a1:1014::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/A/IN': 2001:500:e::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:500:e::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/A/IN': 2001:500:40::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:500:40::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:502:4612::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.info/AAAA/IN': 2610:a1:1016::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.info/A/IN': 2610:a1:1016::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.co.uk/AAAA/IN': 2610:a1:1017::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.biz/A/IN': 2610:a1:1015::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.com/AAAA/IN': 2001:502:f3ff::e8#53
Oct 23 11:39:04 server named[1585]: client 93.113.174.225#46368: query (cache) 'adobe.com/A/IN' denied
Oct 23 11:39:04 server named[1585]: client 93.113.174.225#23736: query (cache) 'adobe.com/A/IN' denied
Oct 23 11:39:04 server lfd[1196]: SYSLOG check [Lga6AZUNsgZGaVQX]

Bu arada, adlandırılmış.conf seçeneklerim herhangi bir yardımda ise aşağıdaki gibidir:

options {
    //listen-on port 53 { 127.0.0.1; };
        //listen-on-v6 port 53 { ::1; };
        directory   "/var/named";
        dump-file   "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        //allow-query     { localhost; };
        allow-recursion { localnets; };

        dnssec-enable yes;
        dnssec-validation yes;
        dnssec-lookaside auto;

        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";

        managed-keys-directory "/var/named/dynamic";
};

Lütfen yardım et!

linux  networking  bind  ipv6 
geliştirici
kaynak
1
gördüğünüz iletileri gösteren sorunuzdaki günlük dosyasından snippet gönderebilir misiniz?
Fegnoid
@Fegnoid Merhaba. Kodlar eklenmiştir. Afedersiniz.
geliştirici
1
bağlama DNS sunucusu kullanıyor musunuz? öyleyse, sadece bağlama başlangıcına ekleyerek IPv4'ü kullanması için değiştirmeniz gerekebilir /etc/sysconfig/named, satırı düzenleyin ve ekleyin, OPTIONS="-4"ardından bağlama sunucusunu yeniden başlatın
Fegnoid
Evet ediyorum. Bunu kontrol edeceğim. Ama bunu neden son zamanlarda günlük dosyamda görüyorum?
geliştirici
son zamanlarda Centos'u güncelledin mi?
Fegnoid

Yanıtlar:

22

Tüm adresler IPv6'dır. Bir IPv6 sorunu görünüyor, muhtemelen yapılandırılmış bir IPv6 ağınız yok. Bind'de IPv6 desteğini devre dışı bırak:

/ Etc / sysconfig / adlı dosyayı düzenleyin ve ayarlayın:

OPTIONS="-4"

Ardından bağlamayı yeniden başlatın:

service named restart

( http://crashmag.net/disable-ipv6-lookups-with-bind-on-rhel-or-centos )

Saldırı altında mısınız? Uzlaşıldığını sanmıyorum. Bu mesajlar, hangi servisleri çalıştırdığınıza bağlı olarak normal olabilir (her neyse, herhangi bir sunucu her zaman bir saldırı teşebbüsü altındadır, insanlar her sunucuda istismarları denemek için İnternet'i tarar).

jjmontes
kaynak
Selam. Gerçek şu ki, düne kadar bu uyarıları almadım. Demek istediğim, dün aniden başladı. Dahası, dün sunucumun ağır yükünden bir şekilde veya başka bir şekilde sorumlu olduğunu düşünüyorum. Hala şu sorum var: örneğin, sunucum neden adobe.com'a bağlanmak istiyor? Sitemde veya sunucumda kerpiçle ilgili hiçbir öğe yok.
geliştirici
Hey, bunu denedim ama dns sunucusunu yeniden başlatmaya çalıştığımda bu mesajı alıyorum: prntscr.com/cdxz2e Bu konuda bir fikrin var mı?
Tolgay Toklar
Ubuntu / Debian'da / etc / default / bind9 dosyası; SEÇENEKLER "-4" ekle
ArunasR
14

Debian Jessie'de systemd ile, -4seçeneğin /etc/default/bind9göz ardı edilebileceğini belirtmek gerekir. Bkz. Hata # 767798 .

Bu durumda, systemd bind9.servicedosyasını değiştirmeniz gerekir :

Güncellemelerin üzerine yazılmasını önlemek için bind9.service öğesini taşıyın

cd /etc/systemd
find . -name "bind*" -delete
cp /lib/systemd/system/bind9.service system/

İçindeki system/bind9.serviceseçenekleri kullanmak için düzenleyin /etc/default/bind9.

$EDITOR system/bind9.service

Eklemek EnvironmentFile=-/etc/default/bind9ve ExecStarteklemek için değiştirin $OPTIONS. (Kaldırıyorum -u bind, çünkü Debian'da zaten dahil edilmiştir $OPTIONS)

-fSystemd için gereken seçeneği koruduğunuzdan emin olun . diffBir örnek için buna bakın :

# diff -u1 /lib/systemd/system/bind9.service /etc/systemd/system/bind9.service 
--- /lib/systemd/system/bind9.service   2015-12-14 21:12:28.000000000 +0100
+++ /etc/systemd/system/bind9.service   2016-02-08 15:34:59.634891951 +0100
@@ -6,3 +6,4 @@
 [Service]
-ExecStart=/usr/sbin/named -f -u bind
+EnvironmentFile=-/etc/default/bind9
+ExecStart=/usr/sbin/named -f $OPTIONS
 ExecReload=/usr/sbin/rndc reload

Ve sonunda

systemctl reenable bind9.service
service bind9 restart
mivk
kaynak
1
Ubuntu
1
Bahsedilen hatanın bugüne kadar giderildiğini ve son Debian'da sadece tekrar düzenleyebildiğinizi unutmayın/etc/default/bind9
Elrond
4

Sorun Centos'taki BIND güncellemesinden kaynaklanıyor, IPv6'nın yanı sıra IPv4'ü de kullanmaya çalışıyor.

Bunu düzeltmenin en iyi yolu ya IPv6 kullanmak ya da sadece IPv4 kullanmak için bağlamayı yapılandırmaktır

/etc/named.conf kümesinde

OPTIONS="-4"

Bu, başlatma sırasında IPv6 kullanarak durduracak ve DNS'yi yeniden başlatacak

restart adlı servis

Fegnoid
kaynak
Selam. Cevabınız için teşekkürler. Buradaki öğreticiyi izleyerek IPV6'yı zaten devre dışı bıraktım. wiki.centos.org/FAQ/… Yukarıdaki değişikliği de uygulamam gerekir mi?
geliştirici
4

16.04'ten büyük ubuntu siparişi için: sudo vi / etc / default / bind9

OPTIONS="-4 -u bind"

okwap
kaynak
2
Bu cevabın neden indirildiğini bilmiyorum, 14.04.5'im var ve config dosyası gerçekten jjmontes cevabından farklı bir konumda. Okwap'ın cevabı geçerli bir ekleme değil mi?
Moolie
2

Güzel seçenekler, www.internic.net/zones tarafından sağlanan adlı .root sunucularını kullandığınızda bu günlüğün göründüğünü fark ettim, çünkü bu sunucuların bazılarında çevrimiçi IPv6 arabirimleri yok.

Benim yaptığım, adlandırılmış.conf dosyamda ileticileri stanza ile çalışmak oldu ve bu günlük artık veya en azından şimdiye kadar görünmedi.

İşte benim adlandırılmış.conf dosyamın bir parçası. Gördüğünüz gibi, Zon İpuçları bölümünü yorumladım. Ve diğer stanzalar çünkü belirli bir kurulum üzerinde çalışıyorum.

// Start the options clauses
options {
        listen-on-v6 {
                none;
                };
        listen-on port 53 {
                127.0.0.1;
                192.168.1.0/24;
                };
        directory "/var/named";
//      tkey-gssapi-keytab "/usr/local/samba/private/dns.keytab";
        version "Not Currently Available";
        auth-nxdomain yes;
        empty-zones-enable no;
        notify no;
        forwarders {
                208.67.220.220;
                208.67.222.222;
                };
        allow-query {
                127.0.0.1;
                192.168.1.0/24;
                };
        allow-recursion {
                127.0.0.1;
                192.168.1.0/24;
                };
        allow-transfer {
                none;
                };
        };
// Zone Clauses
// Root Servers to allow Recursion
//zone "." {
// Zone Clauses
// Root Servers to allow Recursion
//zone "." {
//      type hint;
//      file "named.root";
//      };
Daniel Jackson
kaynak
Küresel IPv6 bağlantısına sahip olmamakla başa çıkmanın bir yolu olarak, -4seçeneğin BIND'in çalışma şeklini tamamen değiştirmek yerine çok daha mantıklı olduğunu düşünüyorum. Tabii ki ilkin ileticilerin kullanılmasının bir nedeni olmadıkça.
Håkan Lindqvist
2

Benim için bu mesajın neden olduğu sorun biraz daha ciddiydi. Sunucunun internet bağlantısı kesildiğinde, saniyede bunlardan birçoğunu elde edersiniz. Uzun süre bağlantısı kesilirse diski doldurabilirler.

Açık çözüm, sadece diğer çözümlerde belirtildiği gibi IPv6 için değil, tüm protokoller için bu mesajı kapatmaktır. Bağlamada belirli bir mesajı kapatamazsınız, bu yüzden alabileceğiniz kadar yakındır:

logging {
    category lame-servers { default_debug; quiet_syslog; };
    channel quiet_syslog { severity notice; syslog daemon; };
};
Russell Stuart
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.