« Кеширующий сервер DNS | Симптом 56 Сиріт доставляють проблеми »
Настройка і запуск DNS-сервера в chroot-оточенні
Із- міркувань безпеки рекомендується запускати всі мережеві сервіси в так званому chroot-оточенні. Зараз поясню, що це таке. Створюється файлова система, що повторює структуру кореневої файлової системи, але на цій файловій системі будуть тільки ті файли, які необхідні для запуску нашого мережевого сервісу.
Зламавши це тевой сервіс і діставши доступ до кореневої файлової системи, зловмисник не зможе пошкодити всій системі в цілому, оскільки він дістане доступ тільки до файлів, які належать даному мережевому сервісу. Одні мережеві сервіси можуть працювати в chroot-оточенні, а інші - ні. Сервис BIND якраз відноситься до першої групи.
Тепер розберемося, як все це організовується. Вам не потрібно створювати окремий розділ на диску для кожного мережевого сервісу: потрібно тільки створити каталог, наприклад, root-dns, в який ви скопіюєте всі файли, необхідні для запуску сервера DNS. Потім, при запуску сервісу, буде виконана команда chroot для цього сервісу, яка підмінить файлову систему.
А оскільки в каталозі root-dns, який стане каталогом /, є всі необхідні файли для работы BIND , те для сервісу запуск і робота в chroot-оточенні будуть абсолютно прозорими.
Відразу потрібно сказати, що настроювати chroot-оточенні ми будемо для дев′ятої версии BIND , оскільки це значно простіше, ніж для восьмої версії.
На відміну від восьмої версії, де для настройки chroot-окруже-ния потрібно було копіювати всі бінарні файли або бібліотеки, необхідні для запуска BIND , для роботи дев′ятої версії досить скопіювати тільки файли конфігурації і зон, що обслуговуються сервером.
Tags: каталог, ключ, оточення, сервіс, сервер, система, файл
Система DNS
Схожі записи
- Бездротові мережі - прекрасна альтернатива (31.03.2009)... На сучасному етапі і, як прогнозується фахівцями, в найближчі 20-30 років, галузі зв'язку і телекомунікацій в Росії з її неосяжними просторами динамічно розвиватимуться і забезпечуватимуть її інтеграцію в усесвітній ринок. Особливо високі темпи зростання спостерігаються в області передачі даних, де число мереж ще кілька років тому було зовсім незначним. На сьогоднішній день в ...
- Структура (15.01.2008)... Організаційними одиницями називаються групи людей, комп'ютерів, файлів, принтерів і інших ресурсів, які потрібно об'єднати в один блок. Домени - це сукупності організаційних одиниць, дерева - сукупності доменів, лісу - сукупності дерев. Така мережева ієрархія забезпечує набагато чіткіший контроль над мережею і її атрибутами. Іншим ключовим компонентом Active Directory є її схема, тобто внутрішня структура бази ...
- Простій протокол електронної пошти SMTP (04.02.2008)Щоб ськомпоновать ці протоколи електронної пошти, більшість поштових програм дозволяють визначити як SMTP-сервер, так і POP-сервер. В основному
- Класифікації мереж (19.03.2008)... п. G Муніципальні (Metropolitan Area Network, MAN) - мережі масштабу міста. * Глобальні (Wide Area Network, WAN) - мережі, охоплюючі значи тільний географічний простір - регіон, країну, континент. Ясна справа, що для нас основним виглядом будуть локальні мережі, хоча ми розглядатимемо і їх інтеграцію з глобальною мережею Internet. ...
- WINS в глобальній мережі - частина 2 (05.03.2008)... Оскільки користувачі по кожну сторону глобальної мережі, в основному, звертаються до ресурсів своїх власних локальних мереж, ми можемо бути достатньо упевненими в тому, що дані WINS на обох сторонах об'єднаються менш ніж за годину. Щоб обчислити максимально допустимий період реплікації між 1а і 2а, ми складемо періоди реплікації кожної пари WINS-серверів (в даному випадку 15 ...
