Red Hat SummitChapitre 1. Mise en place et configuration d'un serveur DNS BIND
BIND est un serveur DNS riche en fonctionnalités et entièrement conforme aux normes et projets de normes DNS de l'IETF (Internet Engineering Task Force). Par exemple, les administrateurs utilisent fréquemment BIND comme :
- Serveur DNS en cache dans le réseau local
- Serveur DNS autoritaire pour les zones
- Serveur secondaire pour assurer la haute disponibilité des zones
1.1. Considérations sur la protection de BIND avec SELinux ou son utilisation dans un environnement change-root
Pour sécuriser une installation BIND, vous pouvez :
Exécutez le service
namedsans environnement change-root. Dans ce cas, SELinux en modeenforcingempêche l'exploitation des vulnérabilités de sécurité connues de BIND. Par défaut, Red Hat Enterprise Linux utilise SELinux en modeenforcing.ImportantL'exécution de BIND sur RHEL avec SELinux en mode
enforcingest plus sûre que l'exécution de BIND dans un environnement change-root.Exécutez le service
named-chrootdans un environnement change-root.En utilisant la fonctionnalité change-root, les administrateurs peuvent définir que le répertoire racine d'un processus et de ses sous-processus est différent du répertoire
/. Lorsque vous démarrez le servicenamed-chroot, BIND change son répertoire racine en/var/named/chroot/. Par conséquent, le service utilise les commandesmount --bindpour rendre les fichiers et les répertoires répertoriés dans/etc/named-chroot.filesdisponibles dans/var/named/chroot/, et le processus n'a pas accès aux fichiers situés en dehors de/var/named/chroot/.
Si vous décidez d'utiliser BIND :
-
En mode normal, utilisez le service
named. -
Dans un environnement change-root, utilisez le service
named-chroot. Pour ce faire, vous devez installer en plus le paquetagenamed-chroot.
