http://www.snooda.com/index zh-cn http://www.snooda.com/read/ snooda <admin@snooda.com> Sun, 13 May 2012 12:27:52 +0000 http://www.snooda.com/read/
    为了服务器安全性，需要进行一下chroot，避免bind被攻破后整个服务器被黑。

    centos自带了bind9的chroot软件包，可以自动将bind进行chroot启动，而debian就差了一点，需要手动搞，所幸debian自己带有官方chroot教程，所以照着做也并不难。

    
    先修改/etc/default/bind9，改成：OPTIONS="-u bind -t /var/bind9/chroot"

    然后建立各种chroot的目标目录：mkdir -p /var/bind9/chroot/{etc,dev,var/cache/bind,var/run/bind/run}

    为bind9的chroot环境创建两个虚拟设备：空和随机数

mknod /var/bind9/chroot/dev/null c 1 3
mknod /var/bind9/chroot/dev/random c 1 8
chmod 660 /var/bind9/chroot/dev/{null,random}

    将bind的默认配置文件移动到目标地址：mv /etc/bind /var/bind9/chroot/etc
    为了保持兼容性，仍在原位置为其建立软链： ln -s /var/bind9/chroot/etc/bind /etc/bind

    修改一下权限： chown -R bind:bind /etc/bind/*

    然后修改一下启动脚本里面pid文件的位置： PIDFILE=/var/bind9/chroot/var/run/named/named.pid
    注意，这里需要是在named目录下的named.pid文件，我之前把这个目录设置成bind了，结果发现放不进去，改成named才行，怀疑bind的代码里面写死了。


    然后通知rsyslog添加一个监听句柄： echo "\$AddUnixListenSocket /var/bind9/chroot/dev/log" > /etc/rsyslog.d/bind-chroot.conf

    debian默认只装了syslog，而不是增强版的rsyslog，需要安装一下。

    然后运行： /etc/init.d/rsyslog restart; /etc/init.d/bind9 start

    查看进程和pid文件均存在的话，表示chroot成功了






    
Tags - chroot , bind ]]> http://www.snooda.com/read/#blogcomment <user@domain.com> Thu, 01 Jan 1970 00:00:00 +0000 http://www.snooda.com/read/#blogcomment