我最近用 CentOS 7 替换了我的 CentOS 5 权威 BIND 服务器。一切工作正常,但我的日志显示出一些奇怪的情况。我使用隐藏的主服务器,我的主名称服务器和辅助名称服务器是隐藏主服务器的从属服务器。
我的主名称服务器在named.run 日志文件中有大量如下条目:
08-Apr-2017 08:39:05.785 update-security: error: client 117.239.55.98#50131: update forwarding 'ABC.COM/IN' denied
08-Apr-2017 08:39:08.500 update-security: error: client 166.171.122.223#38067: update forwarding 'XXY.org/IN' denied
08-Apr-2017 08:39:20.855 update-security: error: client 69.43.159.190#51671: update forwarding 'yyz.com/IN' denied
08-Apr-2017 08:40:01.163 update-security: error: client 117.239.55.98#54976: update forwarding 'ABC.COM/IN' denied
08-Apr-2017 08:40:06.379 update-security: error: client 117.239.55.98#65535: update forwarding 'ABC.COM/IN' denied
08-Apr-2017 08:40:23.952 update-security: error: client 117.239.55.98#59592: update forwarding 'ABC.COM/IN' denied
我很确定这是良性且预期的行为,因为:
- 我的 SOA 记录列出了我的主名称服务器(不是隐藏的主服务器)。这就解释了为什么 ns1 记录所有这些错误,而 ns2 从不记录这样的错误。
- 我不允许也不想允许客户端更新,named.conf 就是这样配置的。
这引出了我的问题:
- 忽略这些错误确实安全吗?
- 如果是这样,有没有办法配置我的命名日志记录以抑制这些错误,但仍记录任何其他合法错误? name.conf 的相关部分如下所示:
记录{ 通道default_debug { 文件“data/named.run”版本3大小5m; 严重程度通知; 打印时间是; 打印严重性是; 打印类别是; }; };