Топовые новости
Новое

Вопросы безопасности общие для всех UNIX

Вопросы безопасности общие для всех UNIXСамым важным шагом при обеспечении безопасности любой системы UNIX является конфигурирование среды, в которой работает BIND, для использования всех механизмов повышения безопасности, доступных BIND посредством операционной системы. Другими словами, это означает, что вы должны применять на вашем компьютере общие механизмы обеспечения безопасности. Запустите named с минимальным количеством прав, необходимых для его нормального функционирования. При этом никогда не запускайте named как root. Даже если злоумышленник сумеет воспользоваться брешью в системе безопасности BIND, последствия взлома будут минимальны, если named работает как пользователь nobody, а не как root. Конечно, named должен стартовать от имени root, однако его нужно проинструктировать переключиться на заданного пользователя и группу при помощи опций командной строки — и и — д. Настоятельно рекомендуется запускать named командой, такой как named — u nobody — g nogroup. Однако помните, что если вы запустили слишком много сервисов как nobody, то увеличивается вероятность успешных атак. В подобной ситуации лучше всего создать отдельные учетные записи для каждой службы и не использовать их ни для каких-других целей. Rad Hat Linux выполняет named как пользователя named.

Кроме того, вы можете использовать UNIX-средство enroot, чтобы изолировать named в его собственной части файловой системы. При правильном конфигурировании такая "тюрьма" Gail) в отгороженной части файловой системы позволит ограничить злоумышленников. Если им удастся попытка взлома, они попадут в ту часть файловой системы, которая содержит небольшое количество данных. Важно помнить, что "тюрьма" enroot не является панацеей и не исключает необходимости принятия других мер защиты. Чтобы среда enroot работала должным образом, вам необходимо настроить каталог, в котором содержится все, что необходимо запускать BIND. Рекомендуется, стартовав с рабочей конфигурацией BIND, создать каталог, скажем, /usr/local/bind, и скопировать файлы, необходимые BIND, в подкаталоги данного каталога. Так, необходимо скопировать двоичные файлы, некоторые системные библиотеки, конфигурационные файлы и тому подобную информацию. Обратитесь к документации по BIND, чтобы точно определить, какие файлы вам необходимы.

Когда ваша chroot-среда установлена, вы можете запустить named с опцией — t /usr/local/bind, чтобы инструктировать ее в enroot в каталог, который вы настроили.

Галерея
8845 9566 9710 12874 13267 36053
Интересные записи
Рубрики