Защита сервера DNS - Настройка безопасности
| Категория реферата: Рефераты по информатике, программированию
| Теги реферата: новшество, реферат данные
| Добавил(а) на сайт: Мизенов.
Предыдущая страница реферата | 1 2 3 4 | Следующая страница реферата
Все вышеперечисленные опции должны быть указаны в секции options файла конфигурации named.conf:
options { allow-query
{ 192.168.1.0/24; localhost; }; allow-recursion { 192.168.1.0/24; localhost; };
allow-transfer { 192.168.1.2; }; version "Made in USSR"; }
Из соображений безопасности рекомендуется запускать все сетевые сервисы в так называемом chroot-окружении. Сейчас поясню, что это такое. Создается файловая система, повторяющая структуру корневой файловой системы, но на этой файловой системе будут только те файлы, которые необходимы для запуска нашего сетевого сервиса. Взломав сетевой сервис и получив доступ к корневой файловой системе, злоумышленник не сможет повредить всей системе в целом, поскольку он получит доступ только к файлам, которые принадлежат данному сетевому сервису. Одни сетевые сервисы могут работать в chroot-окружении, а другие - нет. Сервис BIND как раз относится к первой группе. Теперь разберемся, как все это организовывается. Вам не нужно создавать отдельный раздел на диске для каждого сетевого сервиса: нужно только создать каталог, например, root-dns, в который вы скопируете все файлы, необходимые для запуска сервера DNS. Потом, при запуске сервиса, будет выполнена команда chroot для этого сервиса, которая подменит файловую систему. А так как в каталоге root-dns, который станет каталогом /, имеются все необходимые файлы для работы bind, то для сервиса запуск и работа в chroot-окружении будет совершенно прозрачным.
Сразу нужно сказать, что настраивать chroot-окружении мы будем для девятой версии BIND, поскольку это значительно проще, чем для восьмой версии. В отличие от восьмой версии, где для настройки chroot-окружения нужно было копировать все бинарные файлы или библиотеки, необходимые для запуска BIND, для работы девятой версии достаточно скопировать только файлы конфигурации и зон, обслуживаемых сервером.
Начнем настраивать chroot-окружение для нашего сервера DNS. Создадим каталоги корневой файловой системы сервера DNS - root-dns:
mkdir -p /root-dns mkdir -p /root-dns/etc mkdir -p /root-dns/var/run/named
mkdir -p /root-dns/var/named
Остановим сервер DNS, если он запущен:
service named stop
Переместим файл конфигурации named.conf и файлы зон в каталог /root-dns:
mv /etc/named.conf /root-dns/etc/
mv /var/named/* /root-dns/var/named/ chown named.named /chroot/etc/named.conf
chown -R named.named /root-dns/var/named/*
Нам еще понадобится файл localtime для правильной работы сервера DNS со временем:
cp /etc/localtime
/root-dns/etc/
Защитим от редактирования и удаления файл конфигурации named.conf:
chattr +i /root-dns/etc/named.conf
Примечание. Не забудьте снять атрибут "i" перед редактированием файла конфигурации (chattr -i /root-dns/etc/named.conf)
Удалим каталоги /var/named и /var/run/named - они нам больше не нужны:
rm -rf /var/named/ rm -rf /var/run/named/
Добавим в файл /etc/sysconfig/named строку:
ROOTDIR="/root-dns/"
Рекомендуем скачать другие рефераты по теме: курсовик, контрольные 10 класс.
Категории:
Предыдущая страница реферата | 1 2 3 4 | Следующая страница реферата