Запросы модуля Sendmail

Запрос Red Hat Mandrake HP-UX Debian SuSE Turbo

Режим демона Да Да Да Да Да Да

Периодическая обработка Да Да Да Да Да Да

почты

Команды ехpn и vrfy Да Да Да Да Да Да

Модуль DNS

Система доменных имен (DNS) устанавливает связи между именами и IP-адресами компьютеров. В большинстве организаций есть несколько серверов DNS. Программа Bastille задает ряд вопросов, позволяющих правильно настроить демон named пакета BIND, реализующего DNS.

Запуск демона named в среде с измененным корневым каталогом

Когда программа запускается в среде с измененным корневым каталогом, она "видит" лишь ограниченную часть системы. Ей доступны лишь файлы и каталоги, локализованные в иерархии нового корневого каталога. Это позволяет сформировать безопасную среду для запуска определенных сетевых программ. Такая среда создается, в частности, для демона named, утилиты ftp и Web-сервера Apache. В общем случае это необходимо для программ, работающих от имени привилегированного пользователя (например, root). Если злоумышленник взломает такую программу, его возможности в измененной среде будут существенно ограничены.

Среда с измененным корневым каталогом должна быть правильно сформирована. Все файлы устройств, каталоги, исполняемые и конфигурационные файлы, необходимые про¬грамме, следует скопировать в новое место, где они станут доступны программе после изменения корневого каталога. Если в такой среде запускается демон named, программа Bastille создает учетную запись нового пользователя и группу (named или dns, в зависимости от системы), которым будет принадлежать демон. В новом корневом каталоге (/var/jail/bind в HP-UX и /home/dns или /var/named в Linux) создаются файлы устройств /dev/null и /dev/log, а также подкаталоги, необходимые демону (lib, etc, usr, usr/sbin, dev, var, var/named, var/run и var/run/named). Туда же копируются исполняемые файлы демона named и конфигурационный файл /etc/named.conf.

По сути, это все, что нужно сделать для запуска демона named в среде с измененным корневым каталогом. Остается лишь настроить журнальную регистрацию и модифицировать процедуру запуска демона. Программа Bastille меняет конфигурацию демона syslogd, добавляя к строке его вызова опцию -а (чтение из сокета), чтобы демон читал журнальные сообщения из файла /dev/log новой среды. Программа вносит также изменения в соответствующий сценарий демона init. Дополнительную информацию можно найти по следующему адресу.

http://www.losurs.org/docs/howto/Chroot-BIND.html

Стандартным ответом на запрос будет No (запускать демон named в обычной среде от имени непривилегированного пользователя).


Ведете ли вы блог?

Да
Нет
Планирую


Результаты опроса

Новостной блок