localhost in einer DNS-Zone

Unser ISP hostet auch unseren externen DNS. Standardmäßig enthalten sie einen Eintrag für localhost.

Zum Beispiel: localhost.example.com. 86400 IN A 127.0.0.1

Wenn ich sie gebeten habe, es zu entfernen, haben sie es mir schwer gemacht und sagen, dass es genau so ist, wie Bind funktioniert.

Ich habe versucht, nachzuforschen, warum ich das haben möchte, aber ich konnte nicht viel finden. Ich habe mindestens einen Ort gefunden, der es für einen möglichen XSS-Angriffsvektor hielt. Es scheint ziemlich üblich zu sein, also habe ich in den Top-20-Domains von alexa nachgeschlagen und die meisten haben keinen solchen Eintrag, aber ein paar. Einige andere haben einen Eintrag, aber anstatt auf 127.0.0.1 zu verweisen, verweisen sie auf eine andere IP-Adresse, die über eine weltweite Route erreichbar ist.

Warum sollte ich Locahost für meine Domain in der Zone haben wollen? Haben sie irgendwelche Probleme damit, es nicht zu haben? Gibt es diesbezüglich eine Art bewährter Verfahren? Ist es tatsächlich eine Standardbindungssache, die mir nicht bewusst ist?

Vielen Dank

localhost.example.comist manchmal auf internen DNS-Servern enthalten, um zu verhindern, dass "localhost" -Anfragen ins Internet gelangen (für den Fall, dass John Smith http://localhost/seinen Browser eingibt und aus irgendeinem Grund sein Resolver nicht in der Hosts-Datei nachschaut, hängt er seinen Suchpfad an ( example.com) & beginnt, Nameserver zu fragen, in was das aufgelöst wird.

Sie müssen keinen localhost-Eintrag haben (und wenn Ihr ISP der Meinung ist, dass BIND so funktioniert, sind sie entweder irregeführt oder idiotisch: BIND dient dem Inhalt der Zonendatei, und wenn sie die localhostZeile entfernen , wird dies nicht mehr bedient Aufzeichnung). Als kostenloses Beispiel localhost.google.comlässt sich nicht auflösen, und ich wette, dass die NS für diese Domain BIND ausführt.

Der XSS-Vektor ist etwas, woran ich nie gedacht habe, aber es ist bedenklich: Wenn Sie einen localhostEintrag in Ihrem öffentlichen DNS haben, bedeutet dies, dass sich jeder gehackte Computer "in Ihrer Domäne" befindet (indem Sie einen Webserver auf 127.0.0.1 ausführen) und dies möglicherweise auch tun kann alle möglichen bösen Dinge. Wahrscheinlich ein guter Grund, den Eintrag loszuwerden.

Unter der Annahme, dass Ihre interne Namensauflösung die Namensauflösung ordnungsgemäß handhabt, sollte eine DNS-Anforderung für localhost niemals an Ihren externen DNS-Anbieter gesendet werden. Dies sollte also überhaupt kein Problem darstellen.

Ein Grund, warum jemand dies tun würde, was mir auf den ersten Blick einfällt, besteht darin, dass jemand einmal ein Web-Authoring-Tool verwendet hat, das eine Menge absoluter Verweise auf http: // localhost enthält , aber davon ausgeht, dass dies Ihr Fall ist ISP war auch Hosting auf ihren DNS-Boxen und ist ein langer Schuss.

Allerdings RFC 1537 tut angeben:

Es wurde ausführlich darüber diskutiert, ob die lokale Domäne an sie angehängt werden soll oder nicht. Die Schlussfolgerung war, dass "localhost". wäre die beste Lösung; Gründe dafür waren:

• "localhost" selbst wird verwendet und soll auf einigen Systemen funktionieren.

• Das Übersetzen von 127.0.0.1 in "localhost.my_domain" kann dazu führen, dass eine Software über die Loopback-Schnittstelle eine Verbindung zu sich selbst herstellt, wenn dies nicht gewünscht wird.

Beachten Sie, dass alle Domänen, die Hosts enthalten, einen "localhost" A-Datensatz enthalten sollten.

Streng genommen sieht es so aus, als ob Ihr ISP localhost korrekt einbezieht, aber den vollqualifizierten Namen falsch verwendet.

Ich bin nicht sicher, was der Punkt sein würde ... Standardmäßig würde die externe Adresse von der hosts-Datei überschrieben, die fast immer localhost auf 127.0.0.1 abbildet.

Eine Standard-BIND-Zonendatei enthält jedoch eine Localhost-Zone. Ich habe nie wirklich darüber nachgedacht.