Tag: powerdns
poweradmin und fail2ban
fuer den dns server powerdns gibt es die administrationsoberflaeche “poweradmin“. die auswahl solcher tools ist nicht sonderlich gross… das duerfte die einfachste sein. irgendwann wirds soweit sein, dass boese buben das webinterface entdecken und versuchen einzubrechen. mit fail2ban kann man da ein bischen gegensteuern und nach fehlgeschlagenen loginversuchen die ip per iptables zu sperren.
in der datei “inc/config.inc.php” muessen dazu diese werte gesetzt sein:
$syslog_use = true;
$syslog_ident = 'poweradmin';
das ergibt dann bei fehlgeschlagenen logins im syslog eintraege wie diesen:
Feb 2 05:36:02 host poweradmin: Failed authentication attempt from [xx.xxx.xx.x]
weiter muss eine datei namens “/etc/fail2ban/filter.d/poweradmin.conf” angelegt werden mit folgendem inhalt:
[Definition]
failregex = poweradmin\: Failed authentication attempt from \[\]
ignoreregex =
und die “/etc/fail2ban/jail.conf” erweitert um folgenden eintrag:
[poweradmin]
enabled = true
port = http,https
filter = poweradmin
logpath = /var/log/syslog
maxretry = 3
und nach einem…
/etc/init.d/fail2ban restart
…sollte das auch schon funktionieren.
dnssec, bind, powerdns
tagelang habe ich mich mehr oder weniger erfolgreich erfolglos mit der dnssec implementierung in bind herumgschlagen. mittendrin kam ein kommentar von jonne, welches mich dann doch inspirert hat, mal powerdns anzuschauen. und was soll ich sagen? vergesst die wakeligen pakete in debian fuer bind und die dnssec-tools und nehmt powerdns. (natuerlich nicht den alten in debian stable, sondern ein aktuelles paket welches sich ohne grosse abhaengigkeiten installieren laesst.)
den folgenden absatz habe ich erst nach dem eigenen, in rekordzeit erstelltem test-setup gelesen:
In addition, the PowerDNS Authoritative Server is the leading DNSSEC implementation, hosting the majority of all DNSSEC domains worldwide. The Authoritative Server hosts at least 30% of all domain names in Europe, and around 90% of all DNSSEC domains in Europe.
und ganz ehrlich… ich weiss aus eigener erfahrung auch genau warum.
moeglicherweise gibts demnaechst auf diesem kanal ein kleines howto dafuer.