配置一个安全的chroot DNS(1)_Windows教程
由于天缘最近使用的比较多的是Red Hat 操作系统,而且自己也是在一台Red Hat 9 下面配置好Bind 9的,因此在下面的例子中就以Red Hat AS3为配置平台进行介绍。天缘所在单位的服务DNS是solaris操作系统,因此写shell的时候,我争取做到对Solaris也通用。由于各种因素,我没能亲自在Solaris上进行测试。下面的安装过程对Red Hat和其他unix操作系统都没问题,最后附上的自动安装的shell脚本我只在Red Hat下测试成功,对Solaris大概也基本上顾及到了,如果大家在实际使用那个脚本的时候发现在Solaris下使用存在问题,请及时反馈到此文的留言中,以使我及时更正,方便其他读者朋友。
首先,在开始以前,让我们解释一下标题中出现的chroot 和 bind这两个词。 先是chroot,事实上,在很多英文文章中,称它为”jail”( 监牢, 拘留所, 监狱)。那么什么是”Jail”呢?简单来说,就是把一个事物限制到某个范围。大家都知道,有时候由于一个应用程序的bug、漏洞等问题,会导致该程序被攻击者控制,取得相应用户的权限,进而取得系统管理员级别的权限。例如Windows用户对一些iis漏洞导致系统最高权限落入攻击者之手的事情肯定时有耳闻。不管什么程序,都可能有bug/漏洞,为了防止这样系统中某程序的漏洞导致系统最高权限被攻击者窃取的事件发生,就需要限制该程序的权限。
所谓的限制,并不是不让该程序运行,而是对程序运行时候可以使用的系统资源、用户权限、所在目录进行严格控制。这样,在该程序被他人非法控制后,能具有的权限也相当有限,对系统也不会造成更大的危害。举个形象的例子,架过ftp 服务器的朋友都知道,用户凭借自己的用户名/密码可以进入到自己的空间内进行上传/下载/添加删除目录等操作权限,而对其他用户的目录和系统的其他目录无法进行任何操作(当然,这些权限是管理者合法授权的),这个就可以看做是一个Jail,把ftp用户限制在自己的目录里。在计算机界术语中,我们把这种对程序的Jail,特称为”chroot”。因此题目中的chroot bind,大家可以理解成“权限受严格限制的bind”。
值得一提的是,chroot的程序并不能说是程序本身更安全了,它跟没有chroot的程序比较,依然有着同样多的bug/漏洞,依然会被攻击者利用这些bug/漏洞进行攻击并得逞。那么我们辛苦chroot是为了什么呢?是为了把损失降低到最小。打个比方,购买人生保险并不能保你一生平安,但是可以在你遇到麻烦的时候让损失少一些。我们的chroot程序也是同样的道理,当攻击者取得了该程序的权限的时候,由于程序本身的权限被严格限制了,因此攻击者无法造成更大的破坏,也无法夺取操作系统的最高权限。DNS 服务器由于是作域名解析之用,需要应付来自各地的很多访问,且一般不限制来访ip,因此安全隐患和被攻击的可能性相当大。做一个Dns服务器的资料网络上到处可寻,而作为网络管理员,我们需要的除了域名解析,还有“安全”(天缘在以前的网管笔记中提到过,“安全是一种意识”,在做任何事情的时候都提醒自己注意安全,是一个称职的网络管理者所应该具备的)!
好了,接下来是第二个名词“Bind”。Bind 是ISC 公司的软件,而它也是目前世界上使用最普遍、最通用的DNS软件,如果说Apache和IIS是两分Web Server天下的话,那么Bind 不折不扣是DNS Server事实上的标准了。
接下来开始步入正题,开始我们的Bind安装之旅。chroot方式安装软件,事实上是把一个软件整体限制到根目录下的一个子目录中。即该软件只在此目录内具有权限,而一旦跳出该目录就无任何权限了。在Bind 8的时候,想要把Bind的全部文件放到一个目录下是一件很麻烦的事,而到了Bind 9开发公司ISC终于顺应民心,不光让Bind 软件能方便地安装到同一目录下进行权限限制作业,而且连远程控制软件也加上了,真是超值奉送(稍安勿燥,后面会详细介绍)。
向耐心看到这里的朋友致敬,下面我们立即开始正题:
- 相关链接:
- 教程说明:
Windows教程-配置一个安全的chroot DNS(1)。