TWed2k - Linux交流 - [轉貼]設定 chroot() 來加強名稱伺服器 (name server) 的安全性

主題: [轉貼]設定 chroot() 來加強名稱伺服器 (name server) 的安全性 [打印本頁]

發表人: yjmg 時間: 2007-10-20 06:12 PM 主題: [轉貼]設定 chroot() 來加強名稱伺服器 (name server) 的安全性

BIND 8.1.2 及以後有一個選項可以讓您可以 chroot() 名稱伺服器(name server)：改變檔案系統的外觀，令根目錄成為主機檔案系統上的某個目錄。這就可以有效地將名稱伺服器，以及任何成功危害該伺服器保安的攻擊者困在這目錄內。

安裝和設定Bind 9.x
為 chroot 環境建立 dev, etc, lib, usr和 var子目錄。在 usr 內，建立 sbin子目錄。在 var 內，建立 named子目錄並執行：
cd /var/named
mkdir -p dev etc var/named var/run
設定權限，並建立 pid 檔案：
chown -R named:named var/run
touch var/run/named.pid
將 named.conf  複製至 chroot
cp /etc/named.conf etc
將資料庫檔案移移至 chroot
mv pz var/named
在 chroot內建立 dev/null
mknod dev/null c 1 3
在 chroot內建立 dev/random
mknod dev/random c 1 8
設定 syslog從 chroot接收日誌 (log) 記錄
vi /etc/rc.d/syslog
change /sbin/syslogd to /sbin/syslogd -a /var/named/dev/log
重新啟動 syslog讓更改生效，當 syslogd 重新啟動後，會建立 /var/named/dev/log，而 named會將日誌寫入這裡。
/etc/rc.d/syslog stop && /etc/rc.d/syslog start
最後，修改啟動檔案以 -t 選項來啟動 named：
vi /etc/rc.d/named
change /usr/sbin/named -u named to /usr/sbin/named -u named -t /var/named
步驟就是這樣，重新啟動 named 應該會令它在新的chroot 上運行。恭喜您有一個更加安全的 Bind 設定﹗

歡迎光臨 TWed2k (http://twed2k.org/)