Bind - nieładne [security]

[Tomasz Wittner]

On Thu 20. April 2006 17:09, Zbyniu Krzystolik wrote:
> Cześć,
> Mam wątpliwości co do konfiguracji praw w bindzie. Czy 770 na
> /var/lib/named to nie za dużo? zwłaszcza, że leży tam plik root.hints,
> który ktoś z prawami usera lub grupy named może podmienić na "swój"
> tworząc śliczną wyrwę klasy security.
>
> Przykład:
> [root w k10 ~]# su - named -s /bin/sh
> [named w k10 ~]$ cd /var/lib/named
> [named w k10 named]$ rm root.hint
> rm: remove write-protected regular file `root.hint'? y
> echo -n ". 6D IN NS DUPA.NET.\nDUPA.NET. 5w IN A 192.168.1.34\n" > root.hint
> [named w k10 named]$ killall -SIGHUP named
> [named w k10 named]$ host mbank.com.pl localhost
> Using domain server:
> Name: localhost
> Address: 127.0.0.1#53
> Aliases:
> 
> mbank.com.pl has address 192.168.1.34
> [named w k10 named]$
> 
> Rozwiązania:
> 1) (IMO ładniejsze) 750 na /var/lib/named; named.log oraz named.pid 
> wynocha do podkatalogu przykładowo /var/lib/named/var
> 2) przenieść root.hint do /var/lib/named/etc
> 
> Wiem - bind działa w silnie wykastrowanym chroocie, ale to nie zmienia
> faktu, że powinien być zrobiony porządnie. Zwłaszcza, że nie widzę
> przeciwwskazań.
> RFC.
>
Minęło błogosławione 48 godzin i nikt nie wniósł uwag, więc rób, co uważasz za 
słuszne, byle bind dalej działał. Dla Twojego uspokojenia: przez kilka lat, 
zamiast nodów urządzeń, były w bindowym chroocie zwykłe pliki z prawami 666 i 
nikomu to nie przeszkadzało - więc nieprzemyślane prawa do plików czy 
katalogów w tym specu to nic nowego. 
> Zbyniu

-- 
Tomasz Wittner