Bind - nieładne [security]

[Zbyniu Krzystolik]

Cześć,
Mam wątpliwości co do konfiguracji praw w bindzie. Czy 770 na
/var/lib/named to nie za dużo? zwłaszcza, że leży tam plik root.hints,
który ktoś z prawami usera lub grupy named może podmienić na "swój"
tworząc śliczną wyrwę klasy security.

Przykład:
[root w k10 ~]# su - named -s /bin/sh
[named w k10 ~]$ cd /var/lib/named
[named w k10 named]$ rm root.hint
rm: remove write-protected regular file `root.hint'? y
echo -n ". 6D IN NS DUPA.NET.\nDUPA.NET. 5w IN A 192.168.1.34\n" > root.hint
[named w k10 named]$ killall -SIGHUP named
[named w k10 named]$ host mbank.com.pl localhost
Using domain server:
Name: localhost
Address: 127.0.0.1#53
Aliases:

mbank.com.pl has address 192.168.1.34
[named w k10 named]$

Rozwiązania:
1) (IMO ładniejsze) 750 na /var/lib/named; named.log oraz named.pid 
wynocha do podkatalogu przykładowo /var/lib/named/var
2) przenieść root.hint do /var/lib/named/etc

Wiem - bind działa w silnie wykastrowanym chroocie, ale to nie zmienia
faktu, że powinien być zrobiony porządnie. Zwłaszcza, że nie widzę
przeciwwskazań.
RFC.

Zbyniu
-- 
%% Absolutely nothing we trust %%