Home (Главная)

Page 581 - Страница 581
Page 581
background image

584    Часть 4. FreeBSD и работа в сети

 

имен. Это обеспечит наиболее быстрый способ поиска имен в системе DNS на локальной 
машине. Убедитесь, что перед дополнительными серверами имен имеется следующая строка: search   
somewhere.com nameserver    127.0.0.1  nameserver     64.41.131.167

 

Запуск системы BIND в "песочнице"

 

Как утверждалось в главе 27, иногда имеет смысл (из соображений защиты) запускать 

определенные службы в среде, которую называют "песочницей", — отдельной структуре 
каталогов, не содержащей ничего лишнего, так что извне кажется, будто именно она и 
представляет всю файловую систему. В случае службы FTP эта структура называлась 
"тюрьмой  измененного  корневого  каталога"  ("chroot jail").  Фактический  корневой 
каталог  файловой  системы  изменялся  так,  что  сервер  и  создаваемые  им  процессы  не 
могли  выйти  за  пределы  отведенной  им  структуры  каталогов  выше  определенной 
точки.  Система BIND поддерживает  такую  же  возможность,  но  в  большинстве 
документации эту среду называют "песочницей" ("sandbox"), а не "тюрьмой". Принцип 
организации среды, однако, — тот же. 

Типичное конфигурирование "песочницы" состоит в создании подкаталога sandbox 

в каталоге /etc/namedb и запуске демона named так, что он ограничивает себя только 
этим  каталогом.  Поэтому,  если  демон  named  будет  взломан  (что  вполне  возможно, 
поскольку уязвимые места в версиях системы BIND находят и по сей день), ущерб 
будет  нанесен  только  соответствующему  каталогу.  Создайте  каталог  /etc/named/ 
sandbox  
и  измените  его  владельца  и  права  доступа  так,  чтобы  он  принадлежал 
непривилегированному пользователю и группе bind: 

#  chown -R bind:bind /etc/namedb/sandbox 
#  chmod -R 750 /etc/namedb/sandbox 

Затем  создайте  подкаталоги /etc и  /var/run  в  каталоге  sandbox.  Скопируйте  файл 

/etc/localtime  в  каталог  /etc/namedb/sandbox/etc.  Сервер  будет  записывать  во  время 
выполнения файлы в каталог /var/run, и ему необходим файл localtime для обработки 
последовательных значений из файлов зон и для правильной регистрации дат. 

#  mkdir /etc/namedb/sandbox/etc 
#  ср /etc/localtime /etc/namedb/sandbox/etc 
#  mkdir -p /etc/namedb/sandbox/var/run 

Наконец, добавьте следующую строку в файл /etc/rc.conf: 

named_flags="-u bind  -g bind  -t  /etc/namedb/sandbox"

 

Учтите:  если  для  управления  демоном  named  используется  программа  ndc  (как 

будет показано в этой главе) и демон работает в "песочнице", придется использовать 
опцию . Команды будут иметь следующий вид: 

#  ndc   -с   /etc/namedb/sandbox/var/run/ndc   start

 

Учтите  также,  что  для  записи  демоном  named  журнала  в  файл,  последний  должен 

быть в каталоге sandbox. 

Файл конфигурации системы BIND (named.conf)

 

Чтобы  от  сервера  имен  был  толк,  убедитесь,  находится  ли  он  в  нужном  месте  по 

отношению к клиентам и остальной части сети, с учетом ее топологии, и правильно ли