Named ругается каждый час

[Krueger]

вот такие вещи в логах появляются каждый час:
> Dec 12 17:55:28 router named[38389]: bind(dfd=20, [127.0.0.1].53): Permission denied

> Dec 12 17:55:28 router named[38389]: bind(dfd=20, [213.210.ххх.ххх].53): Permission denied

> Dec 12 18:55:28 router named[38389]: bind(dfd=20, [192.168.2.1].53): Permission denied

поискал в инете, нашёл, что это может быть из-за руткита какого-нибудь и из-за того, что намед запускается не рутовыми правами. Как исправить так и не нашёл, есть идеи по этому поводу?

[Nameless]

А как ты его запускаешь и на какой версии?

[Krueger]

А как ты его запускаешь и на какой версии?

[snapback]6137[/snapback]

FreeBSD 4.10-STABLE
bind-9.3.1
перезапускаю через ndc restart
запускается при загрузке автоматически
# less /etc/rc.conf |grep named
named_enable="YES"
named_flags="-c /etc/namedb/named.conf -u bind"
хм.. так..  кажется вот и ответ?
из-за того, что он запускается с правами bind?
а из под рута его запускать в плане безопасности как?

[Nameless]

У меня тоже так запускается и работает нормально. Единственно, что на 4.х штатно поставляется бинд 8.х.х, а у тебя уже 9 версия. Сам ставил, из портов или руками?

[Krueger]

ставил из портов, потому как штатный оказался дырявый. экспериментировать с 8.более.свежий не стал, сразу поставил 9 версию.
пару месяцев отработал без проблем, а недавно начало такое появляться.
попробую от рута запускать.. может ничего страшного нет в этом.. кроме того. что если дыра найдётся, то заходи гости, делай что угодно...

[stranger]

ставил из портов, потому как штатный оказался дырявый. экспериментировать с 8.более.свежий не стал, сразу поставил 9 версию.
пару месяцев отработал без проблем, а недавно начало такое появляться.
попробую от рута запускать.. может ничего страшного нет в этом.. кроме того. что если дыра найдётся, то заходи гости, делай что угодно...

[snapback]6143[/snapback]

От греха подальше настрой его тогда в chroot окружении, если из под рута будешь запускать.... Хотя конечно может это у тебя сделано. И еще желательно спрятать номер версии в конфигах...

[Krueger]

От греха подальше настрой его тогда в chroot окружении, если из под рута будешь запускать.... Хотя конечно может это у тебя сделано. И еще желательно спрятать номер версии в конфигах...

[snapback]6144[/snapback]

Запустил под рутом, счас вроде нормально, в логи не гадит больше.
Как настроить chroot для namedа подскажи плиз.
я мыслю так:
chroot -u root /etc/namedb namedb -c /etc/namedb/named.conf
так?
а с chroot при запуске что делать? удалять запись из /etc/rc.conf и делать скриптик в /usr/local/etc/rc.d ?
Версию надо не в конфигах а в сорцах прятать, как я понимаю, попробую.

[Nameless]

ставил из портов, потому как штатный оказался дырявый.

[snapback]6143[/snapback]

А пропатчить не судьба?

[Nameless]

Версию надо не в конфигах а в сорцах прятать, как я понимаю, попробую.

[snapback]6235[/snapback]

Не занимайся ерундой, в опциях:
version "(None)";

[DrDeath]

Глупо... Есть утилиты (xspider), которые определяют версию намеда. Потом, даже в чруте не стоит запускать named от рута. Нужно составить chroot для named и попробовать "strace /chroot/named/sbin/named -u named -t /chroot/named" и смотреть чего не хватает
Если все  ok, то каждый час - скорее всего может быть из-за crond, проверить скрипты кронтаба, которые пускаюца каждый час...
Хех... Гадание на кофейной гуще

[stranger]

Запустил под рутом, счас вроде нормально, в логи не гадит больше.
Как настроить chroot для namedа подскажи плиз.
я мыслю так:
chroot -u root /etc/namedb namedb -c /etc/namedb/named.conf
так?
а с chroot при запуске что делать? удалять запись из /etc/rc.conf и делать скриптик в /usr/local/etc/rc.d ?
Версию надо не в конфигах а в сорцах прятать, как я понимаю, попробую.

[snapback]6235[/snapback]

Ну намед сам могет в chroot окружение переходить.
В шляпе все достаточно просто ставиться дополнительный пакет, который сам папку  /var/named/chroot/ делает и переносит туда файлы, а в папку на один уровень делает сслыки. Плюс ко всему там создает иам дерево всех файлов необходимых для намеда... В принципе что-то подобное должно быть и в бсд...
Можно все это сделать и ручками - правда мороки будет больше...
Потом в файле /etc/sysconfig/named нужно выставить переменную
ROOTDIR=/var/named/chroot/

Подробнее о создании можно в доках почитать...

[stranger]

Глупо... Есть утилиты (xspider), которые определяют версию намеда. Потом, даже в чруте не стоит запускать named от рута. Нужно составить chroot для named и попробовать "strace /chroot/named/sbin/named -u named -t /chroot/named" и смотреть чего не хватает
Если все  ok, то каждый час - скорее всего может быть из-за crond, проверить скрипты кронтаба, которые пускаюца каждый час...
Хех... Гадание на кофейной гуще

[snapback]6241[/snapback]

Ну может и глупо - я просто об этом прочитал в какой-то доке, возможно на opennet, там были советы по повышению безопасности...

А под рутом запускать конечно не хорошо... Хотя в chroot окружении ущерб может быть меньше... Надо все-таки его под отдельным пользователем гонять с малыми правами...

[Krueger]

ладно, всем спасибо за советы, почитал, приму к сведению, буду бороть.

[Krueger]

в общем сделал откат на версию 8.4.? всё нормально стало, что ему надо было, фик знает:-(
теперь вопрос такой интересует, товарищи ДНСники, подскажите что означают вопли xspider о том, что возможна рекурсия ДНС запросов? и как это побороть?
а xspider определяет версию по конфигу, а эвристически с точностью 8.2-8.4.

[Nameless]

теперь вопрос такой интересует, товарищи ДНСники, подскажите что означают вопли xspider о том, что возможна рекурсия ДНС запросов? и как это побороть?

[snapback]6340[/snapback]

в options разреши своим сетям/ИП делать рекурсивные запросы
allow-recursion {192.168.0.1 };

[Krueger]

Nameless, спасиб:-)