Возможный дубликат:
bind9 в chroot jail - нужен или нет?
Я переделываю свои внешние DNS-серверы и думаю о том, чтобы на этот раз пропустить chroot. И используя apparmor или selinux в качестве альтернативы. Есть предположения?
Я использую шаблон связывания команды cymrus как ..template :) Но когда больше пользователей администрируют серверы, пакеты по умолчанию предпочтительнее imho.
Я абсолютно не специалист по безопасности, поэтому все, что я говорю, ИМХО.
Запуск BIND с правами root без apparmor / chroot / selinux - не грех. (BIND9 никогда было известные уязвимости разрешение выполнения кода.)
Лучше запустить его без привилегий.
Бегать под аппармом еще лучше.
Еще лучше запустить и то, и другое - под аппармом и без привилегий.
(Кроме того, apparmor vs chroot - вероятно, предпочтительнее apparmor.)