web-dev-qa-db-fra.com

(réseau inaccessible) erreur dans mes journaux de serveur

Je reçois beaucoup de lignes réseau inaccessibles dans le fichier journal des messages de mon Centos. Ils semblent ne pas pouvoir se résoudre à certaines adresses que je n'ai aucune idée pourquoi mon serveur doit les résoudre en premier lieu. Quelqu'un pourrait-il me faire savoir l'origine d'une telle erreur? Suis-je sous attaque?

Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving './DNSKEY/IN': 2001:503:ba3e::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving './NS/IN': 2001:503:ba3e::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:500:48::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:4f8:0:2::19#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:2f::f#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:500:2f::f#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:1::803f:235#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:500:1::803f:235#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:503:c27::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/AAAA/IN': 2001:503:c27::2:30#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns.isc.afilias-nst.info/A/IN': 2001:500:1a::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:4f8:0:2::20#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'dlv.isc.org/DNSKEY/IN': 2001:500:60::29#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns1.isc.ultradns.net/A/IN': 2001:7fd::1#53
Oct 23 11:39:03 server named[1585]: error (network unreachable) resolving 'ns1.isc.ultradns.net/AAAA/IN': 2001:7fd::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'ns2.isc.ultradns.net/A/IN': 2610:a1:1014::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/A/IN': 2001:500:e::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:500:e::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/A/IN': 2001:500:40::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:500:40::1#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.org/AAAA/IN': 2001:502:4612::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.info/AAAA/IN': 2610:a1:1016::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.info/A/IN': 2610:a1:1016::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.co.uk/AAAA/IN': 2610:a1:1017::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.biz/A/IN': 2610:a1:1015::e8#53
Oct 23 11:39:04 server named[1585]: error (network unreachable) resolving 'pdns196.ultradns.com/AAAA/IN': 2001:502:f3ff::e8#53
Oct 23 11:39:04 server named[1585]: client 93.113.174.225#46368: query (cache) 'Adobe.com/A/IN' denied
Oct 23 11:39:04 server named[1585]: client 93.113.174.225#23736: query (cache) 'Adobe.com/A/IN' denied
Oct 23 11:39:04 server lfd[1196]: SYSLOG check [Lga6AZUNsgZGaVQX]

Au fait, les options de mon named.conf sont comme ci-dessous si elles sont d'une quelconque aide:

options {
    //listen-on port 53 { 127.0.0.1; };
        //listen-on-v6 port 53 { ::1; };
        directory   "/var/named";
        dump-file   "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        //allow-query     { localhost; };
        allow-recursion { localnets; };

        dnssec-enable yes;
        dnssec-validation yes;
        dnssec-lookaside auto;

        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";

        managed-keys-directory "/var/named/dynamic";
};

Aidez-moi!

linuxnetworkingbindipv6
21
developer

Toutes les adresses sont IPv6. Semble un problème IPv6, vous n'avez probablement aucun réseau IPv6 configuré. Désactivez le support IPv6 dans Bind:

Modifiez/etc/sysconfig/named et définissez:

OPTIONS="-4"

Redémarrez ensuite bind:

service named restart

(depuis http://crashmag.net/disable-ipv6-lookups-with-bind-on-rhel-or-centos )

Êtes-vous attaqué? Je ne pense pas que vous ayez été compromis. Ces messages peuvent être normaux en fonction des services que vous exécutez (de toute façon, n'importe quel serveur est toujours sous une tentative d'attaque, les gens scannent Internet en essayant des exploits sur chaque serveur).

24
jjmontes

Il convient de noter que dans Debian Jessie avec systemd, l'option -4 Dans /etc/default/bind9 Peut être ignorée. Voir bug # 767798 .

Dans ce cas, vous devez modifier le fichier systemd bind9.service:

Déplacez bind9.service pour éviter qu'il ne soit écrasé lors des mises à jour

cd /etc/systemd
find . -name "bind*" -delete
cp /lib/systemd/system/bind9.service system/

Modifiez system/bind9.service Pour utiliser les options de /etc/default/bind9.

$EDITOR system/bind9.service

Ajoutez EnvironmentFile=-/etc/default/bind9 Et modifiez ExecStart pour inclure $OPTIONS. (Je supprime -u bind, Car sur Debian, il est déjà inclus dans $OPTIONS)

Assurez-vous de conserver l'option -f Nécessaire pour systemd. Voir cet diff pour un exemple:

# diff -u1 /lib/systemd/system/bind9.service /etc/systemd/system/bind9.service 
--- /lib/systemd/system/bind9.service   2015-12-14 21:12:28.000000000 +0100
+++ /etc/systemd/system/bind9.service   2016-02-08 15:34:59.634891951 +0100
@@ -6,3 +6,4 @@
 [Service]
-ExecStart=/usr/sbin/named -f -u bind
+EnvironmentFile=-/etc/default/bind9
+ExecStart=/usr/sbin/named -f $OPTIONS
 ExecReload=/usr/sbin/rndc reload

Et enfin

systemctl reenable bind9.service
service bind9 restart
15
mivk

Le problème est dû à une mise à jour de BIND dans Centos, il essaie d'utiliser IPv6 ainsi que IPv4.

La meilleure façon de le résoudre est d'utiliser IPv6 ou de configurer la liaison pour utiliser uniquement IPv4

dans /etc/named.conf set

OPTIONS="-4"

Cela l'arrêtera en utilisant IPv6 au démarrage et redémarrera DNS

service nommé redémarrage

4
Fegnoid

Pour les commandes Ubuntu supérieures à 16.04: Sudo vi/etc/default/bind9

OPTIONS="-4 -u bind"

4
okwap

Pour moi, le problème causé par ce message était un peu plus grave. Lorsque le serveur est déconnecté d'Internet, vous en obtenez plusieurs par seconde. Si vous êtes déconnecté pendant longtemps, ils peuvent remplir le disque.

La solution évidente consiste à désactiver ce message particulier, non seulement pour IPv6 comme mentionné dans les autres solutions, mais pour tous les protocoles. Vous ne pouvez pas désactiver un message particulier dans bind, c'est donc aussi proche que possible:

logging {
    category lame-servers { default_debug; quiet_syslog; };
    channel quiet_syslog { severity notice; syslog daemon; };
};
2
Russell Stuart

De belles options, j'ai réalisé que ce journal apparaît lorsque vous utilisez les serveurs named.root fournis par www.internic.net/zones car certains de ces serveurs n'ont pas d'interfaces IPv6 en ligne.

Ce que j'ai fait, c'est travailler avec la strophe des redirecteurs dans mon fichier named.conf et ce journal n'apparaissait plus ou du moins jusqu'à présent.

Voici une partie de mon fichier named.conf. Comme vous pouvez le voir, j'ai commenté la section des conseils de zone. Et d'autres strophes parce que je travaille sur une configuration particulière.

// Start the options clauses
options {
        listen-on-v6 {
                none;
                };
        listen-on port 53 {
                127.0.0.1;
                192.168.1.0/24;
                };
        directory "/var/named";
//      tkey-gssapi-keytab "/usr/local/samba/private/dns.keytab";
        version "Not Currently Available";
        auth-nxdomain yes;
        empty-zones-enable no;
        notify no;
        forwarders {
                208.67.220.220;
                208.67.222.222;
                };
        allow-query {
                127.0.0.1;
                192.168.1.0/24;
                };
        allow-recursion {
                127.0.0.1;
                192.168.1.0/24;
                };
        allow-transfer {
                none;
                };
        };
// Zone Clauses
// Root Servers to allow Recursion
//zone "." {
// Zone Clauses
// Root Servers to allow Recursion
//zone "." {
//      type hint;
//      file "named.root";
//      };
2
Daniel Jackson