建立安全的DNS服务

♀ 您现在的位置在：首页 -> CNFUG期刊 -> 正文（阅读）

绝对蓝屏 [ ihweb ] （黄华栋） <ihweb@cnfug.org>

FreeBSD基本安装的时候已经建立了bind这个用户了(不知道是否连freebsd都觉得bind的漏洞危害……)

%more /etc/passwd |grep bind
bind:*:53:53:Bind Sandbox:/:/sbin/nologin

建立一个chroot的"根"目录，同时建立相应的etc 和var目录

%mkdir /tmp/dns
%mkdir /tmp/dns/etc
%mkdir /tmp/dns/var
%mkdir /tmp/dns/var/run

把namedb目录拷贝过去

%cp -rp /etc/namedb/ /tmp/dns/etc/namedb

执行 named 进程

%/usr/sbin/named -t /tmp/dns -u bind

老方法查看 named 进程执行不？

%ps -ax | grep named 4098 ?? Ss 0:00.01 /usr/sbin/named -t /tmp/dns -u bind

好了，这会安全多了。为什么这样说呢？因为现在的named是以bind这个用户来执行的，而且目录限制在/tmp/dns那里，而且里面空空也，就算hacker通过bind漏洞来获得了权利也没有用！这样就好了，基本的DNS安全设置就好了，心里踏实点了。

本功能正在开发中，目前不能使用，敬请原谅。

√ 期刊在线投稿： /journal/contribute.html

√ 本文打印于《CNFUG期刊》，欢迎访问 http://www.cnfug.net 获取更多技术文章。