配置一个安全的chroot DNS(3)_Windows教程
dig @a.root-servers.net . ns > /chroot/named/conf/named.root #这是在redhat下的用法,因为天缘所用的solaris默认(我用的2.6)没有dig命令,所以在solaris下我们用
cd /chroot/named/conf @ IN SOA @ root ( |
4、设置权限
其实这一步,才是我们作任何chroot 服务真正精华的地方。如何把权限划分得准确,不至于无法执行服务,也不能大到会威胁到其他程序的安全,实在是一个需要仔细考虑的问题。
a.由于我们的目的是达到让bind程序以named用户身份运行,所以必须让它具有读配置,无写配置文件的权限,而且最好其他程序也不能改变我们的配置文件,只有root能改,named用户能读。为了满足这个要求的,自然就想到把文件的拥有者改为root,组用户设置为named,然后再慢慢仔细划分权限。
cd /chroot/named
chown –R root.named ./ #-R参数表示下属目录也依照此权限,-R参数在chown和chmod中经常用到
b.接下来想想各个文件、子目录的权限。Root组对 文件需要读写执行权限,named组对文件需要读取权限,而对下属子目录而言,则必须具有执行权限才能进入其中。因此作以下权限设置。
# 对文件赋予root 读写权限,赋予组named读权限
find . -type f -print | xargs chmod u=rw,og=r
# 对目录赋予roo读写执行权限,赋予组named读执行权限(这里的执行是为了能进入到下级目录中)
find . -type d -print | xargs chmod u=rwx,og=rx
#对etc目录下的配置文件,能不让其他用户读取当然是最好的,因此设置
chmod o= etc/*.conf
# "secondaries" 子目录是此Dns服务器作辅助服务器,从主服务器更新消息的时候需要的,会在里面创建一些新文件。因此它的权限也需要特别设置,在这个目录下,named组、用户需要具有读权限,而不需要用到root用户,也不想让其他的用户身份访问。
chown root.named conf/secondaries/ #设置secondaries目录用户为root,组为named
chmod ug=rwx,o= conf/secondaries/ #给予root和named全部权限,以方便访问下面的文件
touch conf/secondaries/.empty # 去掉旧有的该文件
find conf/secondaries/ -type f -print | xargs chown named.named #将用户组、用户都设置为named
find conf/secondaries/ -type f -print | xargs chmod ug=r,o= #只让named组和用户有读权限,而其他用户无任何权限
接着是为var/目录设置权限(在这里会生成进程守护文件named.pid—我们在named.conf中设置了的)
chown root.root var/ #这里可以把named抛弃,
chmod u=rwx,og=x var/ #root可以读写设置,其他用户能执行就行,其实我们之所以做一个chroot DNS需要大费周折地单独设置目录,就是为了不让named具有访问真正的/var的权限。
chown root.named var/run/ #因为在run下面的需要由named身份来写named.pid文件,所以需要将组改为named好限制权限
chmod ug=rwx,o=rx var/run/ #用户/组具有读写执行权限,其他用户能读/执行就可以了,这样的设置,主要是为了方便我们后面写shell来判断DNS目前的状态。
chown root.named logs/ #日志目录,设置成这样的原因不用解释了吧
chmod ug=rwx,o=rx logs/ #日志允许其他人看比较好,方便以后挂第三方程序
- 相关链接:
- 教程说明:
Windows教程-配置一个安全的chroot DNS(3)。