Нужно ли использовать chroot BIND 9, если я использую AppArmor?

Question

Нужно ли использовать chroot BIND 9, если я использую AppArmor?

Возможный дубликат:
bind9 в тюрьме chroot - нужно или нет?

Я переделываю свои внешние DNS-серверы и думаю на этот раз пропустить chroot. И использование apparmor или selinux в качестве альтернативы. Какие-нибудь мысли?

Я использую шаблон команды cymrus bind в качестве..template:) Но когда больше людей администрирует серверы, пакеты по умолчанию предпочтительнее imho.

0

domain-name-system bind selinux chroot apparmor

Источник

falkowich 28 апр '12 в 14:08

1 ответ

Другие вопросы по тегам domain-name-system bind selinux chroot apparmor

Sandman4 29 апр '12 в 21:13 2012-04-29 21:13 · Answer 1 · 2012-04-29 21:13

Я абсолютно не эксперт по безопасности, поэтому все, что я говорю, это ИМХО.

Запуск BIND с правами root без apparmor/chroot/selinux не является грехом. (У BIND9 никогда не было известных уязвимостей, позволяющих выполнять код.)

Работать непривилегированным лучше.

Работать под apparmor еще лучше.

Работать как - под apparmor и непривилегированным еще лучше.

(Кроме того, apparmor против chroot - apparmor, вероятно, предпочтительнее.)