GNU/Linux >> Znalost Linux >  >> Debian

Bind-Chroot-Howto (Debian)

Bind-Chroot-Howto (Debian)

Verze 1.3
Autor:Falko Timme

Tento dokument popisuje, jak nainstalovat DNS server Bind na Debian, aby z bezpečnostních důvodů vypršel chrootjail.

Tento návod slouží jako praktický průvodce; nepokrývá teoretická východiska. Jsou zpracovány v mnoha dalších dokumentech na webu.

Tento dokument je bez záruky jakéhokoli druhu!

Nainstalovat Bind AndChroot It

apt-getinstall bind9

Z bezpečnostních důvodů chceme spouštět BIND chrooted, takže musíme provést následující kroky:

/etc/init.d/bind9 stop

V Debianu Sarge (3.1):

Upravit soubor /etc/default/bind9 aby démon běžel jako neprivilegovaný uživatel 'bind ', přeměněno na /var/lib/named . Upravte řádek:OPTS=" -u bind " tak, aby znělo OPTS="-u bind -t /var/lib/named" : 

OPTIONS="-u bind -t /var/lib/named"

Na Debian Woody (3.0):

Upravit spouštěcí skript /etc/init.d/bind9 takže démon poběží jako neprivilegovaný uživatel 'nikdo ',chrooted to /var/lib/named .Upravte řádek:OPTS="" tak, aby znělo OPTS="-u Nobody-t /var/lib/named" : 

#!/bin/sh

PATH=/sbin:/bin:/usr/sbin:/usr/bin

# for a chrooted server: "-u nobody -t /var/lib/named"
OPTS="-u nobody -t /var/lib/named"

test -x /usr/sbin/named || exit 0

case "$1" in
    start)
        echo -n "Starting domain name service: named"
        start-stop-daemon --start --quiet \
            --pidfile /var/run/named.pid --exec /usr/sbin/named -- $OPTS
        echo "."
    ;;

    stop)
        echo -n "Stopping domain name service: named"
        /usr/sbin/rndc stop
        echo "."
    ;;

    reload)
        /usr/sbin/rndc reload
    ;;

    restart|force-reload)
        $0 stop
        sleep 2
        $0 start
    ;;

    *)
        echo "Usage: /etc/init.d/bind {start|stop|reload|restart|force-reload}" >&2
        exit 1
    ;;
esac

exit 0

Vytvořte potřebné adresáře pod /var/lib :

mkdir -p /var/lib/named/etc
mkdir /var/lib/named/dev
mkdir -p /var/lib/named/var/cache/bind
mkdir -p /var/lib/named/var/run/bind/run

Potom přesuňte konfigurační adresář z /etc do /var/lib/named/etc :

mv /etc/bind /var/lib/named/etc

Vytvořte symbolický odkaz na nový konfigurační adresář ze starého umístění (abyste předešli problémům při budoucí aktualizaci bindis):

ln -s /var/lib/named/etc/bind/etc/bind

Nastavte null a randomdevices a opravte oprávnění adresářů:

mknod /var/lib/named/dev/nullc 1 3
mknod /var/lib/named/dev /random c 1 8
chmod 666 /var/lib/named/dev/null /var/lib/named/dev/random

V Debianu Sarge (3.1):

chown -R bind:bind /var/lib/named/var/*
chown -R bind:bind /var/lib/named/etc/bind

Na Debian Woody (3.0):

chown -R nikdo:nogroup /var/lib/named/var/*
chown -R nikdo:nogroup /var/lib/named/etc/bind

Potřebujeme upravit spouštěcí skript /etc/init.d/ sysklogd z sysklogd abychom mohli stále dostávat důležité zprávy zaznamenávané do systémových protokolů. Upravte řádek: SYSLOGD="" tak, že zní:SYSLOGD="-a/var/lib/named/dev/log" : 

#! /bin/sh
# /etc/init.d/sysklogd: start the system log daemon.

PATH=/bin:/usr/bin:/sbin:/usr/sbin

pidfile=/var/run/syslogd.pid
binpath=/sbin/syslogd

test -x $binpath || exit 0

# Options for start/restart the daemons
#   For remote UDP logging use SYSLOGD="-r"
#
SYSLOGD="-a /var/lib/named/dev/log"

create_xconsole()
{
    if [ ! -e /dev/xconsole ]; then
        mknod -m 640 /dev/xconsole p
    else
        chmod 0640 /dev/xconsole
    fi
    chown root.adm /dev/xconsole
}

running()
{
    # No pidfile, probably no daemon present
    #
    if [ ! -f $pidfile ]
    then
        return 1
    fi

    pid=`cat $pidfile`

    # No pid, probably no daemon present
    #
    if [ -z "$pid" ]
    then
        return 1
    fi

    cmd=`cat /proc/$pid/cmdline | tr "\000" "\n"|head -1`

    # No syslogd?
    #
    if [ "$cmd" != "$binpath" ]
    then
        return 1
    fi

    return 0
}

case "$1" in
  start)
    echo -n "Starting system log daemon: syslogd"
    create_xconsole
    start-stop-daemon --start --quiet --exec $binpath -- $SYSLOGD
    echo "."
    ;;
  stop)
    echo -n "Stopping system log daemon: syslogd"
    start-stop-daemon --stop --quiet --exec $binpath --pidfile $pidfile
    echo "."
    ;;
  reload|force-reload)
    start-stop-daemon --stop --quiet --signal 1 --exec $binpath --pidfile $pidfile
    ;;
  restart)
    echo -n "Stopping system log daemon: syslogd"
    start-stop-daemon --stop --quiet --exec $binpath --pidfile $pidfile
    echo "."
    sleep 1
    echo -n "Starting system log daemon: syslogd"
    start-stop-daemon --start --quiet --exec $binpath -- $SYSLOGD
    echo "."
    ;;
  reload-or-restart)
    if running
    then
        start-stop-daemon --stop --quiet --signal 1 --exec $binpath --pidfile $pidfile
    else
        start-stop-daemon --start --quiet --exec $binpath -- $SYSLOGD
    fi
    ;;
  *)
    echo "Usage: /etc/init.d/sysklogd {start|stop|reload|restart|force-reload|reload-or-restart}"
    exit 1
esac

exit 0

Restartujte loggingdaemon:

/etc/init.d/sysklogd restart

Spusťte BIND a zkontrolujte /var/log/syslog za případné chyby:

/etc/init.d/bind9 start

Hodně štěstí!


Debian

  1. ImportError:Žádný modul s názvem ‚lsb_release‘ – Debian Linux – Solution

  2. Jak Linux zpracovává více po sobě jdoucích oddělovačů cest (/home////username///soubor)?

  3. Debian – Přesunutí /var, /home do samostatného oddílu?

  1. Rozdíl mezi /var/log/messages, /var/log/syslog a /var/log/kern.log?

  2. Django static_root v /var/www/... - žádná oprávnění ke collectstatic

  3. Kdy mám použít /dev/shm/ a kdy /tmp/?

  1. unix:///var/run/supervisor.sock žádný takový soubor

  2. Jak znovu inicializovat soubory /var/lib/mysql?

  3. Měly by weby žít ve /var/ nebo /usr/ podle doporučeného použití?