А как ты его запускаешь и на какой версии?
[snapback]6137[/snapback]
FreeBSD 4.10-STABLE
bind-9.3.1
перезапускаю через ndc restart
запускается при загрузке автоматически
# less /etc/rc.conf |grep named
named_enable="YES"
named_flags="-c /etc/namedb/named.conf -u bind"
хм.. так.. кажется вот и ответ?
из-за того, что он запускается с правами bind?
а из под рута его запускать в плане безопасности как?
ставил из портов, потому как штатный оказался дырявый. экспериментировать с 8.более.свежий не стал, сразу поставил 9 версию.
пару месяцев отработал без проблем, а недавно начало такое появляться.
попробую от рута запускать.. может ничего страшного нет в этом.. кроме того. что если дыра найдётся, то заходи гости, делай что угодно...
[snapback]6143[/snapback]
От греха подальше настрой его тогда в chroot окружении, если из под рута будешь запускать.... Хотя конечно может это у тебя сделано. И еще желательно спрятать номер версии в конфигах...
От греха подальше настрой его тогда в chroot окружении, если из под рута будешь запускать.... Хотя конечно может это у тебя сделано. И еще желательно спрятать номер версии в конфигах...
[snapback]6144[/snapback]
Запустил под рутом, счас вроде нормально, в логи не гадит больше.
Как настроить chroot для namedа подскажи плиз.
я мыслю так:
chroot -u root /etc/namedb namedb -c /etc/namedb/named.conf
так?
а с chroot при запуске что делать? удалять запись из /etc/rc.conf и делать скриптик в /usr/local/etc/rc.d ?
Версию надо не в конфигах а в сорцах прятать, как я понимаю, попробую.
ставил из портов, потому как штатный оказался дырявый.
[snapback]6143[/snapback]
А пропатчить не судьба?
Версию надо не в конфигах а в сорцах прятать, как я понимаю, попробую.
[snapback]6235[/snapback]
Не занимайся ерундой, в опциях:
version "(None)";
Запустил под рутом, счас вроде нормально, в логи не гадит больше.
Как настроить chroot для namedа подскажи плиз.
я мыслю так:
chroot -u root /etc/namedb namedb -c /etc/namedb/named.conf
так?
а с chroot при запуске что делать? удалять запись из /etc/rc.conf и делать скриптик в /usr/local/etc/rc.d ?
Версию надо не в конфигах а в сорцах прятать, как я понимаю, попробую.
[snapback]6235[/snapback]
Ну намед сам могет в chroot окружение переходить.
В шляпе все достаточно просто ставиться дополнительный пакет, который сам папку /var/named/chroot/ делает и переносит туда файлы, а в папку на один уровень делает сслыки. Плюс ко всему там создает иам дерево всех файлов необходимых для намеда... В принципе что-то подобное должно быть и в бсд...
Можно все это сделать и ручками - правда мороки будет больше...
Потом в файле /etc/sysconfig/named нужно выставить переменную
ROOTDIR=/var/named/chroot/
Подробнее о создании можно в доках почитать...
Глупо... Есть утилиты (xspider), которые определяют версию намеда. Потом, даже в чруте не стоит запускать named от рута. Нужно составить chroot для named и попробовать "strace /chroot/named/sbin/named -u named -t /chroot/named" и смотреть чего не хватает
Если все ok, то каждый час - скорее всего может быть из-за crond, проверить скрипты кронтаба, которые пускаюца каждый час...
Хех... Гадание на кофейной гуще
[snapback]6241[/snapback]
Ну может и глупо - я просто об этом прочитал в какой-то доке, возможно на opennet, там были советы по повышению безопасности...
А под рутом запускать конечно не хорошо... Хотя в chroot окружении ущерб может быть меньше... Надо все-таки его под отдельным пользователем гонять с малыми правами...
теперь вопрос такой интересует, товарищи ДНСники, подскажите что означают вопли xspider о том, что возможна рекурсия ДНС запросов? и как это побороть?
[snapback]6340[/snapback]
в options разреши своим сетям/ИП делать рекурсивные запросы
allow-recursion {192.168.0.1 };