named を chroot 環境で動作させる

named を chroot 環境で動作させる

セキュリティ対策の1つとして、DNS サーバである named (BIND) を chroot 環境で動作させる設定です。

named を chroot 環境内で動作させることにより、named に何らかのセキュリティホールがあった場合でも chroot で閉じ込められたディレクトリより外へのアクセスを防ぐことができます。

NetBSD では、NetBSD 1.6 以降から DNS サーバである named を chroot 環境で動作させるためのディレクトリや特権分離用のユーザ名、グループ名が用意されています。

chroot 環境で named を動作させるには、/etc/rc.conf に以下のように記述しておきます。

named=YES
named_chrootdir="/var/chroot/named"

named を chroot 環境で動作させるためのディレクトリは、/var/chroot/named となり、ユーザ名 named、グループ名 named で動作します。

Linux (CentOS) でも、named-chroot サービスを起動することで、簡単に chroot 環境で named を動作させることができるようです。

あまり手をかけずに chroot 環境で named を動作させることができますので、DNS サーバを動かす場合はぜひ設定しておきましょう。