Задача: надо максимально обезопасить named на машине. Машина стоит в ДМЗ (PIX Firewall) Сама машина крутиться под AIXом. Но это все детали. Вопрос об идеологии. У меня стартует named8 о рута. Читал мнения что надо запускат от рута, но в основном говорят, что запускать от самого гавён..го пользователя с минимальными правами. С чем я собственно и согласен. Но найти серьезных рекомендация пока не удалось нигде. Может кто-то где-то читал как ПРАВИЛЬНО все-таки запускать named8 и конфиг для него(со всеми клюиками типа allow-query { ? }; allow-transfer { ?} и т.д.) Я понимаю что должен быть запрещен трансфер зоны, но вот что еще окромя этого мне не удалось найти, помогите пожалуйста, думаю всем остальным тоже будет интересно!Заранее благодарен за любую информацию.
Константин Горбунов
>Задача: надо максимально обезопасить named на машине. Машина стоит в ДМЗ (PIX
>Firewall) Сама машина крутиться под AIXом. Но это все детали. Вопрос
>об идеологии. У меня стартует named8 о рута. Читал мнения что
>надо запускат от рута, но в основном говорят, что запускать от
>самого гавён..го пользователя с минимальными правами. С чем я собственно и
>согласен. Но найти серьезных рекомендация пока не удалось нигде. Может кто-то
>где-то читал как ПРАВИЛЬНО все-таки запускать named8 и конфиг для
>него(со всеми клюиками типа allow-query { ? }; allow-transfer { ?}
>и т.д.) Я понимаю что должен быть запрещен трансфер зоны, но
>вот что еще окромя этого мне не удалось найти, помогите пожалуйста,
>думаю всем остальным тоже будет интересно!ищи "chroot bind", ссылки есть и на www.isc.org и еще где-то, и руководства есть:
http://www.isc.org/products/BIND/contributions.html
или через google
>Заранее благодарен за любую информацию.
>Константин Горбунов
>>Задача: надо максимально обезопасить named на машине. Машина стоит в ДМЗ (PIX
>>Firewall) Сама машина крутиться под AIXом. Но это все детали. Вопросесли нужен крутой-безопасный dns-server - DJBDNS (к гадалке не ходи)
http://cr.yp.to/ - от автора бесценных творений Др.Бернштейна
ставшее народным достоянием :) - http://www.djbdns.org/
как и qmail/ezmlm - http://www.qmail.org/
anonftpd, ucspi-tcp (tcp server-client)
и формат MAILDIR :)