Sécurité chroot - DNS server - Bind9

Posted on mars 27th, 2007 by Océane.
Categories: linux / Unix /openBSD, FreeBSD.


installer le logiciel Bind9 sous debian (ici j’utilise apt-get, pour les autres distro ou autres unix se référer a la documentation du système):

apt-get install bind9


arrêter le serveur DNS:

/etc/init.d/bind9 stop


Editer le fichier /etc/default/bind9 afin que le démon utilise l’utilisateur ‘bind’, chrooté à /var/lib/named. Modifier la ligne : OPTIONS=”-u bind” écrire OPTIONS=”-u bind -t /var/lib/named”:

Créer tous les fichiers necessaire sous /var/lib:

mkdir -p /var/lib/named/etc
mkdir /var/lib/named/dev
mkdir -p /var/lib/named/var/cache/bind
mkdir -p /var/lib/named/var/run/bind/run


Ensuite déplacer les fichiers de configuration de /etc vers /var/lib/named/etc:

mv /etc/bind /var/lib/named/etc


Créer un lien symbolique vers le nouveau repertoire de configuration (Cela vous permettra d’eviter tous problèmes lors des upgrade ;) ):

ln -s /var/lib/named/etc/bind /etc/bind


Créer les perifériques “null” et “random” et résoudre les problèmes de permissions:

mknod /var/lib/named/dev/null c 1 3
mknod /var/lib/named/dev/random c 1 8
chmod 666 /var/lib/named/dev/null /var/lib/named/dev/random
chown -R bind:bind /var/lib/named/var/*
chown -R bind:bind /var/lib/named/etc/bind


Ensuite il faut modifier le fichier de démarrage /etc/init.d/sysklogd du démon sysklogd afin qu’il puisse loguer tous les évènements importants du système. Modifier la ligne: SYSLOGD=”" et ecrire SYSLOGD=”-a /var/lib/named/dev/log”:

Redémarrer le démon pour les logs:

/etc/init.d/sysklogd restart


démarrer le serveur dns BIND, et verifier les messages d’erreurs dans /var/log/syslog :

/etc/init.d/bind9 start


et voilà le travail !!!
:D
bisous

Technorati Tags: , , ,

0 comments.