2001年03月02日(金) << 前の日記 | 次の日記 >>
これまでの03月02日 編集

■1bindの緊急対策でサンドボックスアプローチ[セキュリティ] このエントリーをはてなブックマークに追加

バージョン上げないとまずいというのは分かっているけど、今は対処できないって場合。 bindを移行するのは大変だと思って手を付けないでいる方は、 とりあえずこの対策だけでもどうぞ。標準作業時間15分を目安にどうぞ。 *1
% named -h
とやって(別にhでなくても、無効なオプションならそれで良いのですが)、
Usage: named [-d #] [-q] [-r] [-f] [-p port] [[-b|-c] configfile]
             [-u (username|uid)] [-g (groupname|gid)]
             [-t directory]
の様に、'-u'や'-t'のオプションが使えれば、緊急対策ができます。
砂場でbind[http://www.nantoka.com/~kei/diary/?200102c&to=200102242#T200102242] の方法を使って、少なくともroot権限は取れないようにしましょう。
ポイントは、
  • namedユーザーとグループを作る
  • /etc/namedb/var/run をnamedさんのものにして、namedさんの権限で書き込めるようにする
  • (セカンダリをやる場合は)バックアップファイルを置くディレクトリもnamedさんのものにする
  • named.confのoptions directory の指定を"/"にする
  • namedの起動オプションを 'named -u named -t /etc/namedb -c /named.conf'として、 /etc/namedbにchrootしてから、namedさんの権限で動くようにする
です。
砂場でBINDを動かす[http://www.pcc-software.org/security/sandbox-bind.html] という解説が参考になります。
この対策だけでは、namedエントリに嘘情報を流し込まれたり、 namedを落とされたりする可能性はありますが、少なくともroot権限を守ることができるようになります。
書き換えを受けたり、踏み台にされる可能性がなくなる訳ではありませんが、 対策に掛ける手間の割には安全性が向上します。 とりあえずこの方法で緊急対策しておいて、移行の準備を進めると良いでしょう。
*1: もちろん、設定ファイルや起動ファイルがどこにあるか分かっていればそんなに掛かりません。

■ 関連記事

以上、1 日分です。

指定日の日記を表示

前月 2001年03月 翌月
1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project