Board logo

主題: [轉貼]設定 chroot() 來加強名稱伺服器 (name server) 的安全性 [打印本頁]

發表人: yjmg    時間: 2007-10-20 06:12 PM     主題: [轉貼]設定 chroot() 來加強名稱伺服器 (name server) 的安全性

BIND 8.1.2 及以後有一個選項可以讓您可以 chroot() 名稱伺服器(name server):改變檔案系統的外觀,令根目錄成為 主機檔案系統上的某個目錄。這就可以有效地將名稱伺服器,以及任何成功危害該伺服器保安的攻擊者困在這目錄內。

安裝和設定Bind 9.x
為 chroot 環境建立 dev, etc, lib, usr和 var子目錄。在 usr 內,建立 sbin子目錄。在 var 內,建立 named子目錄並執行:
cd /var/named
mkdir -p dev etc var/named var/run
設定權限,並建立 pid 檔案:
chown -R named:named var/run
touch var/run/named.pid
將 named.conf  複製至 chroot
cp /etc/named.conf etc
將資料庫檔案移移至 chroot
mv pz var/named
在 chroot內建立 dev/null  
mknod dev/null c 1 3
在 chroot內建立 dev/random  
mknod dev/random c 1 8
設定 syslog從 chroot接收日誌 (log) 記錄
vi /etc/rc.d/syslog
change /sbin/syslogd to /sbin/syslogd -a /var/named/dev/log
重新啟動 syslog讓更改生效,當 syslogd 重新啟動後,會建立 /var/named/dev/log,而 named會將日誌寫入這裡。
/etc/rc.d/syslog stop && /etc/rc.d/syslog start
最後,修改啟動檔案以 -t 選項來啟動 named:
vi /etc/rc.d/named
change /usr/sbin/named -u named to /usr/sbin/named -u named -t /var/named
步驟就是這樣,重新啟動 named 應該會令它在新的chroot 上運行。恭喜您有一個更加安全的 Bind 設定﹗




歡迎光臨 TWed2k (http://twed2k.org/) Powered by Discuz! 4.1.0