Esta dica é para quem roda o bind (99% do mundo Unix) e deseja ganhar um pouco mais de segurança.
O bind pode ser iniciado "enjaulado" (chroot) e com seus
privilégios de root dropados. Ou seja, mesmo que ele seja
comprometido, o atacante necessitará de mais trabalho antes
de comprometer o sistema inteiro.
Para quem não sabe o que é chroot, existem bons
tutoriais na Internet e usem o Google também, ele é seu aliado.
Esta dica é extremamente simples de ser feita. Assumo que o
conf do seu bind está instalando em /etc/named.
O segredo está na linha de comando. Ao iniciar o named, execute-o
com estes parâmetros:
-t /etc/named -u named -c /named.conf
Apenas tome cuidado ao declarar os caminhos dentro do named.conf, ou seja, ao invés de declarar:
zone "localhost" {
type master;
file "/etc/named/zones/db.local";
};
Declare:
zone "localhost" {
type master;
file "zones/db.local";
};
Ou seja, seu novo "/" é dentro do /etc/named!
Até mais.
Firewall pessoal com IPtables
Versão para impressora
Indicar para um amigo
Enviar dica