绝对蓝屏 [ ihweb ] (黄华栋)
FreeBSD基本安装的时候已经建立了bind这个用户了(不知道是否连freebsd都觉得bind的漏洞危害……)
%more /etc/passwd |grep bind
bind:*:53:53:Bind Sandbox:/:/sbin/nologin
建立一个chroot的"根"目录,同时建立相应的etc 和var目录
%mkdir /tmp/dns
%mkdir /tmp/dns/etc
%mkdir /tmp/dns/var
%mkdir /tmp/dns/var/run
把namedb目录拷贝过去
%cp -rp /etc/namedb/ /tmp/dns/etc/namedb
执行 named 进程
%/usr/sbin/named -t /tmp/dns -u bind
老方法查看 named 进程执行不?
%ps -ax | grep named 4098 ?? Ss 0:00.01 /usr/sbin/named -t /tmp/dns -u bind
好了,这会安全多了。为什么这样说呢?因为现在的named是以bind这个用户来执行的,而且目录限制在/tmp/dns那里,而且里面空空也,就算hacker通过bind漏洞来获得了权利也没有用!这样就好了,基本的DNS安全设置就好了,心里踏实点了。
