이전 포스팅에서 bind dynamic update 하는 방법을 정리한 적이 있다.
그 이후 오랜만에 서버를 업그레이드 하여 이전 포스팅에 따라 키를 생성하려고 하니 dnssec-keygen 명령이 응답이 없다.
구글링해보니 리눅스에서는 Seed를 주기 위해 -r /dev/urandom을 추가해 주어야 한다고 한다.
예를 들면 다음과 같이 사용한다.
dnssec-keygen -r /dev/urandom -a hmac-md5 -b 256 -n HOST test.com.
Cent-OS 6.4 를 새로 설치하고 테스트 하던 중
Out-bound traffic 이 주기적으로 높아지는 걸 발견
iftop (또는 iptraf)로 트래픽의 주범을 찾아 보니 UDP 53번 포트 (DNS)
DNS Attack 의 일종이다.
막는 방법은 아래와 같다.
IPTables 에 다음 라인을 추가한다.
-I INPUT -p udp --dport 53 -m string --from 40 --to 51 --algo bm --hex-string '|04706b7473046173696100|' -j DROP -m comment --comment "DROP DNS Q pkts.asia"
-A INPUT -p udp -m udp --dport 53 -m state --state NEW -m recent --set --name DEFAULT --rsource
-A INPUT -p udp -m udp --dport 53 -m state --state NEW -m recent --update --seconds 10 --hitcount 10 --name DEFAULT --rsource -j DROP
이 키워드로 구글링 하면 제일 잘 정리된 페이지가 아래 페이지이다.
위 페이지를 기반으로 설치를 하면서 버전이 맞지 않아 생기거나 실수로 생기는 사항에 대해서만 추가한다.
주의할 점
위 페이지를 보면 roundcube 설치 후 spamassassin 을 설치하는 거로 되어 있지만
spamassassin 을 먼저 설치하는 게 정상 순서이다.
vpopmail 설치 시 CentOS 같은 경우 uid 89 를 이미 postfix 에서 사용중이다.
해결방법은 postfix 를 제거 하거나 다른 uid를 사용하는 방법이다.
다른 uid를 사용할 때 주의해야 하는 점은 Roberto의 스크립트를 그대로 따라하면 에러가 발생된다.
스크립트에서 89 라고 되어 있는 부분을 본인이 사용한 uid 로 바꿔 주어야 한다.
dovecot 설치 시 설치 후 테스트 할 경우 ManageSieve 에러가 발생한다.
sieve 설정을 안해서 발생하는 문제로 다음 2가지 방법이 있다.
1. mv 20-managesieve.conf 20-managesieve.conf.disabled 로 sieve 설정을 무효화 한 후 테스트
2. 그 다음 Filtering 페이지까 다 설정한 후에 테스트
spamassassin 설치 방법은 Roberto 의 방법으로 하면 정상 동작하지 않는다.
아래 방법대로 설치한다.
1. spamassassin 소스 취득 및 소스 폴더로 감
2. 필수 패키지 설치
perl -MCPAN -eshell
cpan[1]> install Digest::SHA1 HTML::Parser Net::DNS NetAddr::IP Time::HiRes LWP HTTP::Date IO::Zlib Archive::Tar
2. 옵션 패키지 설치
cpan[3]> Compress::Zlib Mail::DKIM DBI
3. sapmassassin 설치
cpan[4]> install Mail::SpamAssassion
4. 잘 설치되었는 지 확인
sapmassassin -V
설치 된 이후는 다시 Roberto 의 페이지 대로 설정한다.