; TeX output 2003.11.26:1326_2 ~?ՁZݺIqqecss2074Chroot-BINDfHOwmWTO cG 1 ecrm1000ScottU W*unsch,qL ectt1000scott?suwunsch.org΃v1.5,U 1Dicembre2001&6 ecss1000Questo>doGcumentodescrivecomeinstallareilnameserverBIND$9inunagabbiacreataconchrootedeseguirlosenzaAiprivilegidiroGotperaumentarelasicurezzadelsistemaeminimizzareipGotenzialirischidiunasuacompromissione.Attenzione,oquestojAdoGcumentostatoaggiornatopertrattarespecicamenteBINDj<9;tsestateancorausandoBIND8,?alloradoveteleggereilChroGot-BIND8HOWTOinvecediquesto.TT*raduzionediMassimoSoricettiU (max-67@TOGLIMI.libGero.it)erevisionediClaudioCattazzo(claudio@TOGLIMI.pluto.linux.it).(&Lt$ffffecbx1440Indice]f ecbx10001In>troQduzione2ؼ1.1%Cosa?.荍................................................w21.2%Perch?o.荍...............................................w21.3%Dove?{.荍................................................w21.4%Come?I.荍................................................w31.5%LibGeratoria.荍.............................................w32Preparazionedellagabbia>32.1%CreazioneU diunutenteD덍.荍.......................................w32.2%StrutturaU delledirectory.荍......................................w42.3%SistemareU idatidiBIND#.荍.....................................w42.4%FileU pGerilsupportoalsistemab.荍...................................w52.5%Logging4C.荍...............................................w5%2.5.1ELaU soluzioneideale(.荍.....................................w5%2.5.2ELeU altresoluzionii.荍......................................w62.6%RestrizioneU deipGermessi(.荍......................................w73Compilareedinstallareilv>ostronuovoBINDY73.1%LaU compilazione5.荍...........................................w74Installareilv>ostronuovoBIND!?h74.1%InstallareU ibinari.荍..........................................w84.2%CongurareU loscriptdiinizializzazione덍.荍..............................w84.3%MoGdicheU allacongurazione)[.荍...................................x?105Fine-4105.1%AvviareU BIND .荍............................................x?105.2%EccoU fatto!.荍.............................................x?10*_2 ~?G1.8In>troQduzione~2ՁV6AppQendice-Successiviaggiornamen>tidiBIND107AppQendice-Ringraziamen>ti-108AppQendice-P>oliticadidistribuzione}11(11Inctropduzione:QuestodԀilChroGot-BINDdHOWTO;controllatelasezione1.3(Dove?)pGerilsitoprincipale,hchecontienela copia=piaggiornatadispGonibile.!SiassumechesappiategiusareecongurareBIND(BerkeleyInternetNameDomain).\root>0Mar1320:58log 2.5.2#!\LealtresoluzioniMSeaveteunsyslogdtroppGovecchiodovretetrovqareunaltrosistemapGerscrivereivostrilog.CisonounpaioPdiprogrammiingiro,Qcomeholelogd,cheaiutanoagendocomeproxyedaccettandolevoGcidilogdalBINDU inchroGotepassandolealverosoGcket/dev/log.ؼInalternativqapGotetecongurareBINDperfargliscrivereilogsunormalileinvecedifarlipassareattraversosyslog.qLeggeteU ladoGcumentazionediBINDperscoprireidettaglisucomefarlosesceglietequestastrada._w_2 ~?G3.8Compilareedinstallareilv>ostronuovoBIND7ՁV2.6Restrizionedeip_ermessiMPrimadituttosentiteviautorizzatiarestringerel'accessoall'interadirectory/chrootalsoloutenteroot. ChiaramentenontuttipGotrebberovolerlofare,)soprattuttoseavetealtrisoftwareinstallatiinquelladirectorycheU nonapprezzanolacosa.卑#Nchownroot/chroot =#Nchmod700/chrootؼPoteteU anchetranquillamentelimitarel'accessoa/chroot/namedall'utentenamed:#Nchownnamed:named/chroot/named#Nchmod700/chroot/namedؼPerunaccessoancorapiristretto,]suisistemiLinuxpGossiamorenderealcunileedirectoryimmutabili, usandoU l'utilitchattrsuilesystemext2:#Ncd/chroot/named#Nchattr+ietcetc/localtimevarؼInxmoGdoequivqalente,suF*reeBSD&4.3potrestevolerdareun'occhiataachflagssevoleterenderelee directory/Kimmutabili.PeresempioilcomandocheseguedovrebbGerendereimmutabiletuttoilcontenutodellaU directory/chroot/named/etc:卑#Nchflagsschg/chroot/named/etc/*(*).ؼSarebbGeJunabellacosafarloancheperladirectorydevmapurtroppoquestoimpedirebbeasyslogddicreare/ilsuosoGcket/Ժdev/log.ePoteteimpGostareilbitimmutabileanchepGeraltrileodirectorydellagabbiachroGot,U comeiledizonaprimaria,sesapetechenonnoncambierannomai.(3CompilareG\edinstallareilvcostronuovoBIND荍3.1LacompilazioneMCompilare5pBIND5h9pGerusarloinunagabbiachrootuncompitomoltopifacilediquantofosseconBIND8.qInfattiU nondoveteU farenientedispGeciale,ilsolito./configure?&&makeU dovrebbGeesseresuciente.ؼRicordatevichesevoleteabilitareilsuppGortoperl'IPv6inBINDA(enable-ipv6)suisistemiLinuxviservono=uversioniallineatedelkerneledelleglibGc.iSeaveteunkernel2.2viservonoleglibGc2.1eseaveteunkernelU 2.4viservonoleglibGc2.2.qBINDpiuttostosuscettibilesuquestopunto.4InstallareG\ilvcostronuovoBIND:Devodirecheseavetegiun'installazionediBIND (pGeresempiodaunRPM)doveterimuoverlaprimadiinstallareostronuovoBIND8ՁVSeMstateaggiornandoBINDdaunaversionepivecchia,xcomeBIND8,viconvieneleggereladoGcumentazione di:migrazionenelledoc/misc/migrationnelpacchettosorgentediBIND.NonmioGccupo:dinessunargomento(cheriguardilamigrazioneinquestodoGcumento;assumersoltantochestiaterimpiazzandounapreesistenteU versionefunzionantediBIND9."4.1InstallareibinariMQuestaQlapartefacile:-).ySemplicementeeseguitemake?installelasciatefaretuttoalui.Davvero,-莡tuttoU qui!4.2CongurareloscriptdiinizializzazioneMSeavetegiunoscriptdiinizializzazionedallavostradistribuzione,sarebbGebenemodicarequellopereseguireU inuoviU binariconleopzioniappropriate.qGliswitchsono...(rulloditamburipr}/ego...)㍍ !", cmsy10-u?named,U chediceaBINDdigirarecomeutentenamedinvecechecomeroot.((-t?/chroot/named,U chediceaBINDdiutilizzarelagabbiachroGotcheabbiamocreatopGerlui.-c?/etc/named.conf,chekdiceaBIND6dovetrovqareisuoiledicongurazioneall'internodellagabbia.QuelloCchesegueloscriptdiinizializzazionecheusonelmiosistemaRedHat6.0.:ComepGotetevedere莤 quasiUesattamentelostessolefornitodaRedHat.(NonhoancoraprovqatoicomandirndcmanonvedomotivoU pGercuinondebbanofunzionare. ӉffG #!/bin/sh =##Nnamed3ZThisshellscripttakescareofstartingandstopping#PN.namedN(BINDDNSserver).##Nchkconfig:3455545#Ndescription:named(BIND)isaDomainNameServer(DNS)\#NthatisusedtoresolvehostnamestoIPaddresses.#Nprobe:true#NSourcefunctionlibrary..N/etc/rc.d/init.d/functions#NSourcenetworkingconfiguration..N/etc/sysconfig/network#NCheckthatnetworkingisup.[N${NETWORKING}="no"]&&exit0[N-f/usr/local/sbin/named]||exit0[N-f/chroot/named/etc/named.conf]||exit0#NSeehowwewerecalled.caseN"$1"in"rstart)>r#NStartdaemons.>rechoN-n"Startingnamed:">rdaemonN/usr/local/sbin/named-unamed-t/chroot/named-c/etc/named.conf u_2 ~?G4.8Installareilv>ostronuovoBIND9ՁV>recho =>rtouchN/var/lock/subsys/named>r;;"rstop)>r#NStopdaemons.>rechoN-n"Shuttingdownnamed:">rkillprocNnamed>rrmN-f/var/lock/subsys/named>recho>r;;"rstatus)>rstatusNnamed>rexitN$?>r;;"rrestart)>r$0Nstop>r$0Nstart>rexitN$?>r;;"rreload)>r/usr/local/sbin/rndcNreload>rexitN$?>r;;"rprobe)>r#Nnamedknowshowtoreloadintelligently;wedon'twantlinuxconf>r#Ntooffertorestarteverytime>r/usr/local/sbin/rndcNreload>/dev/null2>&1||echostart>rexitN0>r;;"r*)>rechoN"Usage:named{start|stop|status|restart|reload}">rexitN1esacexitN0ffffG ȍComeO'consyslogd,MdallaRedHat7.2anchequestolavoropifacile._C'unlechiamato /etc/sysconfig/named(incuispGecicareparametrisupplementaripersyslogd. Loscriptpredenito/etc/rc.d/init.d/namedsuRedHat7.2pGercontrollerl'esistenzadi/etc/named.confprimadipartire.DovreteU correggerequestopGercorso.ؼSu=sistemiCalderaOpGenLinuxdovretesoltantomoGdicarelevqariabilideniteincimaeaquantosembraloscriptU sioGccuperU delrestoalvostropGosto:卑NAME=named =DAEMON=/usr/local/sbin/$NAMEOPTIONS="-tN/chroot/named-unamed-c/etc/named.conf"ؼEU pGerF*reeBSD4.3potetemodicarerc.confedinserirciquesterighe:named_enable="YES"named_program="chroot/named/bin/named"named_flags="-uNnamed-t/chroot/named-c/etc/namedb/named.conf" Q_2 ~?G5.8Fineɼ10ՁV4.3Mo_dicheallacongurazioneMDovrete4Fancheaggiungereocambiarealcuneopzioninelvostronamed.confpGersistemarelevqariedirectory*. InU particolaredovreteaggiungere(ocambiare,seleavetegi)leseguentidirettivenellasezioneoptions:卑directoryN"/etc/namedb"; =pid-fileN"/var/run/named.pid";statistics-fileN"/var/run/named.stats";ؼDatoBchequestolelettodaldemonenamedtuttiipGercorsisononaturalmenterelativiallagabbiachroGot.Al%momentodellastesuradiquestodoGcumento,/4BIND%9nonsuppGortamoltideiledistatisticheedidumpcheavevqaprima.LProbabilmentetalesuppGortoverrripristinatonelleprossimeversioni.LSestateutilizzandouna,diquestenuove,versionipGotrestedoveraggiungerevoGciaggiuntivepGerfarscrivereanchequestinelladirectoryU /var/run.(5Fine荍5.1AvviareBINDMDovrebbGemesseretuttoapostoedovresteessereprontiamettereinazioneilvostronuovoBINDm}corazzato.AssumendoU cheabbiateunoscriptdiinizializzazioneditipGoSysV,potetesemplicementeavviarlocos:卑#N/etc/rc.d/init.d/namedstartPrimaU assicuratevidiaverU interrottoqualsiasialtravecchiaversionediBIND.#Í5.2Eccofatto!MPoteteU andareafarviunsonnellinoora;-).(6ApppendiceG\-SuccessiviaggiornamenctidiBIND:OraaveteilvostroBIND9.1.2tuttoinchroGoteconguratoapuntinocomepiaceavoi...A epGoisentitequestefastidiosezvoGcicheBINDU9.1.3oradispGonibileevivienevogliadiprovqarlo.AIDoveterifaretuttoquestolungoproGcessoU dacapoperprovqarelanuovqaversione?ؼNo,*infatti~avetesolobisognodicompilareilnuovoBINDRedinstallarlosoprailvecchio.pDovetesoltantoricordarvidiinterrompGerelavecchiaversioneefarripartireBIND,osarinesecuzioneancoralavecchiaversione!7ApppendiceG\-Ringraziamencti:V*orreiU ringraziareleseguentipGersoneperlaloroassistenzanellacreazionediquestoHOWTO:ؼLonnyBSelinger b> cmmi10BpGeravercontrollatolaprimaversionediquestoHOWTOedU essersiassicuratochenonmancassenessunpassaggio. _2 ~?G8.8AppQendice-P>oliticadidistribuzione11ՁVChirik,DwayneLitzenbGerger,PhilBam- bridgeǵ,=RobGertCole,=ColinMacDonald?edaltripGeraversegnalatoerroriedomissioniedaverfornitoaltriU utiliconsiglipGerrenderequestoHOWTOancoramigliore.Erik}W*allin}eBrianCervenkqa}pGeraverfornitobuoniU suggerimentisulmoGdodirestringereulteriormentelagabbia.RobGertVDaltonVperaverVsuggeritounaltropaiodicomandidiesempioedU aversegnalatocheaBIND9.2.0serve/dev/random.EricU McCormickU pGerleinformazionisuF*reeBSD4.3.T*anZhengDapGeridettaglisullemodicheintroGdotteinRedHat7.2chehannoresoU lecoseunpGo'pifacili.ؼE alla gnemacertononmenoimpGortante, vorrei gringraziareNakqanoT*akeopGeravertradottoChroot-BINDoHOWTOinGiapponese. "'PotetetrovqarelasuatraduzioneU su@http://www.linux.or.jp/JF/JFdocs/Chroot-BIND-HOWTO.html.ؼ[NdT: LatraduzioneitalianarepGeribilepressohttp://ildp.pluto.linux.it/HOWTO/Chroot-BIND-HOWTO.htmlU ](8ApppendiceG\-Pcoliticadidistribuzione:CopyrightlcQ JScottQW*unsch,z2000-2001.6QuestodoGcumentopuesseredistribuitosolosottoiterministabilitidallaU licenzaLDPsu@http://metalab.unc.edu/LDP/COPYRIGHT.html.Thist!HOWTOtisfreedoGcumentation;youcanredistributeitand/ormoGdifyitunderthetermsoftheLDPlicence.5ItisdistributedinthehopGethatitwillbeuseful,butwithout Fan>ywarranty;/withouteventheimpledwarrantyofmerchantabilityortnessforaparticularpurpGose.TSeetheLDPlicenceformoredetails.Questo:HOWTO)doGcumentazionelibGera;)1lecitoredistribuirloe/omodicarlosottoiterminidellalicenzaLDP*.BȑdistribuitonellaspGeranzachesiautile,! masenzaalcunagaranzia;IsenzaBnemmenolagaranziaimplicitabdinegoziabilitoapplicabilitpGerunparticolarescopo. V*ederelalicenzaLDPbperulterioridettagli.a;_2G qL ectt0900HЃ ecti1000!N ecbx1200]f ecbx1000&Lt$ffffecbx14406 ecss1000Iqqecss2074qL ectt1000 1 ecrm1000 !", cmsy10 b> cmmi10