Назад | Перейти на главную страницу

Нужно ли мне chroot BIND 9, если я использую AppArmor?

Возможный дубликат:
bind9 в chroot jail - нужен или нет?

Я переделываю свои внешние DNS-серверы и думаю о том, чтобы на этот раз пропустить chroot. И используя apparmor или selinux в качестве альтернативы. Есть предположения?

Я использую шаблон связывания команды cymrus как ..template :) Но когда больше пользователей администрируют серверы, пакеты по умолчанию предпочтительнее imho.

Я абсолютно не специалист по безопасности, поэтому все, что я говорю, ИМХО.

Запуск BIND с правами root без apparmor / chroot / selinux - не грех. (BIND9 никогда было известные уязвимости разрешение выполнения кода.)

Лучше запустить его без привилегий.

Бегать под аппармом еще лучше.

Еще лучше запустить и то, и другое - под аппармом и без привилегий.

(Кроме того, apparmor vs chroot - вероятно, предпочтительнее apparmor.)