Chroot nele - Bind
Dica publicada em Linux / Segurança
Chroot nele - Bind
Esta dica é para quem roda o bind (99% do mundo Unix) e deseja ganhar um pouco mais de segurança.
O bind pode ser iniciado "enjaulado" (chroot) e com seus privilégios de root dropados. Ou seja, mesmo que ele seja comprometido, o atacante necessitará de mais trabalho antes de comprometer o sistema inteiro.
Para quem não sabe o que é chroot, existem bons tutoriais na Internet e usem o Google também, ele é seu aliado.
Esta dica é extremamente simples de ser feita. Assumo que o conf do seu bind está instalando em /etc/named.
O segredo está na linha de comando. Ao iniciar o named, execute-o com estes parâmetros:
-t /etc/named -u named -c /named.conf
Apenas tome cuidado ao declarar os caminhos dentro do named.conf, ou seja, ao invés de declarar:
zone "localhost" {
type master;
file "/etc/named/zones/db.local";
};
Declare:
O bind pode ser iniciado "enjaulado" (chroot) e com seus privilégios de root dropados. Ou seja, mesmo que ele seja comprometido, o atacante necessitará de mais trabalho antes de comprometer o sistema inteiro.
Para quem não sabe o que é chroot, existem bons tutoriais na Internet e usem o Google também, ele é seu aliado.
Esta dica é extremamente simples de ser feita. Assumo que o conf do seu bind está instalando em /etc/named.
O segredo está na linha de comando. Ao iniciar o named, execute-o com estes parâmetros:
-t /etc/named -u named -c /named.conf
Apenas tome cuidado ao declarar os caminhos dentro do named.conf, ou seja, ao invés de declarar:
zone "localhost" {
type master;
file "/etc/named/zones/db.local";
};
Declare:
zone "localhost" {
type master;
file "zones/db.local";
};
type master;
file "zones/db.local";
};
Ou seja, seu novo "/" é dentro do /etc/named!
Até mais.