BIND 8+ 域名服务器安全增强 zt

p;  另外还可根据需要指定日志记录目录（如/var/log），请参考下面的章节或 
named.conf的手册页。 


步骤四：添加bind用户和组（如果没有的话。如果已经有bind或named之类的用户 
        和组，请跳过本步骤。） 

    在/etc/passwd和/etc/group文件中添加bind用户和组。它们是DNS服务器运行 
时的UID/GID。 

    此时，你可以到chroot环境中执行"chown -R bind.bind /chroot/bind/etc/ 
namedb"命令。这样当你向系统发送中断信号(kill -INT 时，named进程能够保存 
服务器缓存和统计信息。如果该目录为root所有则named进程无法将输出写到目录 
中，但不会影响named服务器功能。另一个选择是仅改变目录权限（使named用户具 
有写权限），而属主仍然是root。这种方法也是可行的，但必须小心设置，确保其 
它用户不会修改named记录！ 

*** 重要警告***  精美韩国模版下载http://www.it55.com
    不要用一个已存在的UID/GID（如"nobody"）运行named。记住，以chroot环境 
中使用任何已存在的UID/GID都可能会影响到服务的安全性。必须养成在chroot环 
境中为每一个守护进程提供独立的UID/GID的习惯。 


步骤五：其它必要调整 

　　如果在named.conf中还指定了另外的目录和文件，也要相应地在chroot()环境 
中（在本例中即/chroot/bind/目录）进行设置。 


步骤六：调试 

1、终止系统中原有的syslogd和named守护进程。 

# killall syslogd named 

2、用适当的参数重新启动syslogd守护进程。 

# syslogd -s -p /chroot/bind/var/run/log 

3、用适当参数重新启动named守护进程。 

# /chroot/bind/named -u bind -g bind -t /chroot/bind 

4、检查syslogd/named守护进程、监听端口是否正常，和/var/log/messages文件 
   中named进程启动时是否正常。  免费网页模版下载http://www.it55.com

# ps auwx|grep syslogd 
root     5896  0.0  1.7   896  508  ??  Ss    9:44PM   0:00.10 syslogd -s -p 
/chroot/bind/var/run/log 
# ps auwx|grep named 
bind     5941  0.0  4.9  1652 1444  ??  Is    9:52PM   0:00.01 
/chroot/bind/usr/sbin/named -u bind -g bind -t /chroot/bind 
# netstat -an|grep 53 
tcp4       0      0  127.0.0.1.53           *.*                    LISTEN 
tcp4       0      0  192.168.8.19.53        *.*                    LISTEN  45398 http://www.it55.com it55学习IT知识，享受IT生活 4dfkjn
udp4        免费网页模版下载http://www.it55.com

（编辑：IT资讯之家 www.it55.com）