<html><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">Hi List,<div class=""><br class=""></div><div class="">First off, I should note that I am a novice with administering Bind, so please bear with me. </div><div class=""><br class=""></div><div class="">We are looking to be more pro-active and security minded in our network in general and while we are getting ready to completely replace/upgrade our current instances of Bind, I would like to hear of opinions of the following ansible role that would install, setup, configure, etc our instances taking security into account. I have read some of the common best practices on this very list over time but wanted to ensure what was in this role wasn't missing anything in terms of securing the deployment. </div><div class=""><br class=""></div><div class="">So I am aware it’s preferred to split recursive and authoritative services across different instances. I also understand it’s preferred to use one of the “out of zone” (apologies for not knowing the proper terminology) master methods (such as hidden or shadow master). It’s also a very good idea to deploy TSIG for transaction signing. And of course, ACL recursive lookups as well as AXFRs. Beyond that, what other best practices should be considered when making a deployment such as the following scenario ….</div><div class=""><br class=""></div><div class="">ns1 - ns4: authoritative name servers - slaves</div><div class="">ns0 - hidden/shadow master</div><div class=""><br class=""></div><div class="">old ns1- ns4: will be used as recursive as these were deployed doing both authoritative and recursive many years ago and policy routing for these old IPs is very ugly, so we would like to keep them there after an upgrade as opposed to try and figure out who’s still using them to notify we’re changing the IPs</div><div class=""><br class=""></div><div class=""><br class=""></div><div class="">The ansible role can be seen here at <a href="https://github.com/juju4/ansible-bind" class="">https://github.com/juju4/ansible-bind</a> . So you don’t have to click on the link, what this role does to secure bind in summary is as follows:</div><div class=""><br class=""></div><div class=""><div class="">- Secure template from Team Cymru template (<a href="http://www.cymru.com/Documents/secure-bind-template.html" class="">http://www.cymru.com/Documents/secure-bind-template.html</a>). Please note than separated internal/external views are not implemented currently.</div><div class="">- DNSSEC for authentication,</div><div class="">- RPZ to whitelist/blacklist entries</div><div class="">- Malware domains list blackholed</div><div class="">- Eventual integration with MISP RPZ export</div><div class="">- Authoritative DNS (mostly for internal zones) Mostly as cache/forwarder but could be other roles.</div></div><div class=""><br class=""></div><div class="">Taking into consideration what I have already learned plus the few things above mentioned on GitHub (mainly the security template and malware domain blackhole as we do not use RPZ or Views), is there anything else that should be considered/added/changed/removed to/from the defaults of this role when we go to deploy the above scenario? </div><div class=""><br class=""></div><div class="">TIA,</div><div class="">m</div></body></html>