BINDのchroot化

BINDはルートディレクトリのデフォルト値が「/」となります。
chroot化は、ルートディレクトリを「/var/named/chroot」にすることによってプロセスがアクセス可能な範囲を制限するセキュリティ対策となります。

概要

BINDのchroot化の構築方法を記載します。

chroot化方法は、bind・bind-chrootをインストールし、ルートディレクトリを変更するだけです。
ですが設定ファイルが間違っているとchroot化もできないため(そもそもサービスが起動できないため)、よく確認して設定してください。
不安な方は、一旦chrootで起動を確認してから細かく設定していく方法が良いかもしれません。

環境

OSRHEL7.5
DNSbind-9.9.4-61.el7.x86_64

構築の流れ

  1. インストール
  2. ルートディレクトリの変更
  3. サービス起動

構築方法

[1] インストール

bind、bind-chrootをインストールします。
必須ではないですが、bind-utilsを併せてインストールすることを推奨します。
bind-utilsはdigコマンド(問い合わせコマンド)を利用するために必要になります。

# yum install bind bind-chroot bind-utils

[2] ルートディレクトリの変更

bind、ルートディレクトリを「/var/named/chroot」に変更します。

# vi /etc/sysconfig/named

・デフォルト設定
ROOTDIR=
※設定ファイル上は空となってますが、明示的に制限されない場合は「/」がデフォルト値となります。

・chroot用のディレクトリ
ROOTDIR=/var/named/chroot

[3] サービス起動

  • chrootサービス起動
 # systemctl start named-chroot
  • 起動確認
 # systemctl status named-chroot
  • LISTEN状況確認
    IPv4/IPv6の制限をかけていない場合は両方ともLISTENされます。
 # ss -natu | grep :53
tcp    LISTEN     0      10     127.0.0.1:53                    *:*
tcp    LISTEN     0      10      ::1:53                         :::*

1行目がIPv4の53番ポート、2行目がIPv6の53番ポートがLISTEN状態なことを示しています。

技術情報

商標について

関連サービス

OSS導入支援
OSS保守サポート

お気軽にお問い合わせください。応対時間 9:30-17:30 [ 土・日・祝日除く ]

お問い合わせ