Jak bezpečně na bind9 u rodinky Debianů

Takže nejdříve je třeba stáhnout binda

  Kód:

apt-get install bind9

na první pohled by se mohlo zdát, že je hotovo, ale bezpečnost a funkčnost takto nastaveného binda je velmi špatná. Takže nejdříve spustíme bind9 v chrootovém prostředí dle následujícího postupu:

  Kód:

/etc/init.d/bind9 stop

Upravíme soubor /etc/default/bind9 tak, že demon binda pojede v neprivilegovaném prostředí /var/lib/named. Upravte možnost: OPTIONS="-u bind" tak, aby vypadala následovně OPTIONS="-u bind -t /var/lib/named":

  Kód:

nano /etc/default/bind9

  Kód:

OPTIONS="-u bind -t /var/lib/named"
# Set RESOLVCONF=no to not run resolvconf
RESOLVCONF=yes

nyní vytvoříme 4 složky pod cestou /var/lib:

  Kód:

mkdir -p /var/lib/named/etc
mkdir /var/lib/named/dev
mkdir -p /var/lib/named/var/cache/bind
mkdir -p /var/lib/named/var/run/bind/run

přesuneme složku konfigu z /etc do /var/lib/named/etc:

  Kód:

mv /etc/bind /var/lib/named/etc

ze staré lokace vytvoříme symlink do nové lokace:

  Kód:

ln -s /var/lib/named/etc/bind /etc/bind

nyní ošetříme null, random a oprávnění na složky:

  Kód:

lmknod /var/lib/named/dev/null c 1 3
mknod /var/lib/named/dev/random c 1 8
chmod 666 /var/lib/named/dev/null /var/lib/named/dev/random
chown -R bind:bind /var/lib/named/var/*
chown -R bind:bind /var/lib/named/etc/bind

Upravíme /etc/default/syslogd tak, aby se nám důležité události zapisovaly do systémového logu. Konkrétně upravíme řádek: SYSLOGD="" aby vapadal takto: SYSLOGD="-a /var/lib/named/dev/log":

  Kód:

lnano /etc/default/syslogd

  Kód:

#
# Top configuration file for syslogd
#

#
# Full documentation of possible arguments are found in the manpage
# syslogd(8).
#

#
# For remote UDP logging use SYSLOGD="-r"
#
SYSLOGD="-a /var/lib/named/dev/log"

A je hotovo. Nyní restartujeme logovacího démona s bindem, zkontrolujeme log a máme bind9 z krku

  Kód:

/etc/init.d/sysklogd restart
/etc/init.d/bind9 start