Bind
pour installer bind
Pour plus de sécurité, nous éxecuterons BIND en environnement restreint.
BIND est parfois exécuté avec des droits root, afin d'utiliser le port privilégié 53 (TCP, UDP), inférieur à 1024. Dans un environnement restreint, il ne pourra pas voir ou avoir accès aux fichiers à l'extérieur de sa propre arborescence. Cela permet de limiter la quantité d'accès que n'importe quel individu malveillant pourrait gagner en exploitant une vulnérabilité de BIND.
Source: Alsacreations
Suivez les instructions suivantes:
on arrête BIND
Ouvrez le fichier /etc/default/bind9:
et ajoutez
sur la ligne
:
OPTIONS="-u bind -t /var/lib/named"
# Set RESOLVCONF=no to not run resolvconf
RESOLVCONF=yes
Créez les répertoires nécessaires sous /var/lib
mkdir /var/lib/named/dev
mkdir -p /var/lib/named/var/cache/bind
mkdir -p /var/lib/named/var/run/bind/run
On déplace le répertoire de configuration:
On crée un lien symbolique vers le nouveau répertoire de configuration (pour éviter les éventuelles erreurs lors des mises à jour futures):
On termine la création de notre environnement:
mknod /var/lib/named/dev/random c 1 8
chmod 666 /var/lib/named/dev/null /var/lib/named/dev/random
chown -R bind:bind /var/lib/named/var/*
chown -R bind:bind /var/lib/named/etc/bind
Editez la configuration de syslogd le daemon principal de log pour indiquer le nouveau chemin employé par bind : (si syslogd n'existe pas, apt-get install syslogd)
Modifiez la ligne:
en:
On relance tous les services:
/etc/init.d/bind9 start
Vérifiez les éventuelles erreurs dans /var/log/syslog
Commentaires
#1 sous debian6 ovh/kimsufi
bind est installé par défaut, en revanche pour le log bind, rsyslog remplace syslog
en reprenant le tuto d'alasacréations il faut donc terminer par
vi /etc/rsyslog.d/bind-chroot.confet ajouter la ligneRedémarrez le tout :
#
/etc/init.d/rsyslog restartRedémarrage de bind :
/etc/init.d/bind9 start