Bind9 Chrooté sur DEBIAN

Sur les Kimsufi OVH, Bind9 est déja installé, mais il n’est pas chrooté.
Definition chrooté :

Cette commande permet d’isoler l’exécution d’un programme et d’éviter ainsi la compromission complète d’un système lors de l’exploitation d’une faille. Si un pirate utilise une faille présente sur l’application chrootée, il n’aura accès qu’à l’environnement isolé et non pas à l’ensemble du système d’exploitation. Cela permet donc de limiter les dégâts qu’il pourrait causer.

Nous allons donc arrêter puis reconfigurer le service Bind.

# /etc/init.d/bind9 stop

On édite le fichier /etc/default/bind9 et on remplace la ligne OPTIONS par:

OPTIONS="-u bind -t /var/lib/named"

On crée les répertoires nécessaires :

# mkdir -p /var/lib/named/etc 
# mkdir /var/lib/named/dev 
# mkdir -p /var/lib/named/var/cache/bind 
# mkdir -p /var/lib/named/var/run/bind/run 
# mkdir /etc/bind/zones 
# mkdir /etc/bind/zones/master/ 
# chown -R bind:bind /etc/bind/zones

on deplace les fichiers de config et on cree un lien symbolique vers leur emplacement d’origine :

# mv /etc/bind /var/lib/named/etc
# ln -s /var/lib/named/etc/bind /etc/bind

on crée les null et random devices et on change les droits :

# mknod /var/lib/named/dev/null c 1 3 
# mknod /var/lib/named/dev/random c 1 8 
# chmod 666 /var/lib/named/dev/null /var/lib/named/dev/random 
# chown -R bind:bind /var/lib/named/var/* 
# chown -R bind:bind /var/lib/named/etc/bind

On edite le fichier /etc/default/syslogd  et on remplace la ligne SYSLOGD=” » par :

SYSLOGD="-a /var/lib/named/dev/log"

Finalement on relance syslogd et bind9

# /etc/init.d/sysklogd restart 
# /etc/init.d/bind9 start