安全的DNS服务设置

flyboy$

FreeBSD基本安装的时候已经建立了bind这个用户了(不知道是否连freebsd都觉得bind的漏洞危害……)
%more /etc/passwd |grep bind
bind:*:53:53:Bind Sandbox:/:/sbin/nologin
建立一个chroot的"根"目录，同时建立相应的etc 和var目录
%mkdir /tmp/dns
%mkdir /tmp/dns/etc
%mkdir /tmp/dns/var
%mkdir /tmp/dns/var/run
把namedb目录拷贝过去
%cp -rp /etc/namedb/ /tmp/dns/etc/namedb 执行 named 进程
%/usr/sbin/named -t /tmp/dns -u bind 老方法查看 named 进程执行不？
%ps -ax | grep named 4098 ?? Ss 0:00.01 /usr/sbin/named -t /tmp/dns -u bind
好了，这会安全多了。为什么这样说呢？因为现在的named是以bind这个用户来执行的，而且目录限制在/tmp/dns那里，而且里面空空也，就算hacker通过bind漏洞来获得了权利也没有用！这样就好了，基本的DNS安全设置就好了，心里踏实点了。


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/13650/showart_87631.html