Fórum Root.cz

Hlavní témata => Distribuce => Téma založeno: Aleš Rygl 09. 10. 2017, 15:30:07

Název: Debian Stretch, Bind9 ve virtuálu - má smysl chroot?
Přispěvatel: Aleš Rygl 09. 10. 2017, 15:30:07
Zdravim,
mam autoritativni DNS pro nekolik desitek domen na Debianu. Server ve VMware, je to dedikovana virtualka(y) pro DNS server. Protoze jsem dve verze pozadu, tak bych chtel bych udelat cistou instalaci, i kdyz upgradovat bych mohl tez, jen si myslim, ze to bude rychlejsi.  Stavajici Bind9 bezi v chrootu, tak bych se chtel zeptat, jaky je (v tomto pripade) nazor na pouziti chrootu. Jestli to stoji za tu praci nebo se to "uz tak nedela". Server je v DMZ.

Diky za nazory
A.
Název: Re:Debian Stretch, Bind9 ve virtualu - ma smysl chroot?
Přispěvatel: Miroslav Šilhavý 09. 10. 2017, 19:34:31
Zdravim,
mam autoritativni DNS pro nekolik desitek domen na Debianu. Server ve VMware, je to dedikovana virtualka(y) pro DNS server. Protoze jsem dve verze pozadu, tak bych chtel bych udelat cistou instalaci, i kdyz upgradovat bych mohl tez, jen si myslim, ze to bude rychlejsi.  Stavajici Bind9 bezi v chrootu, tak bych se chtel zeptat, jaky je (v tomto pripade) nazor na pouziti chrootu. Jestli to stoji za tu praci nebo se to "uz tak nedela". Server je v DMZ.

Diky za nazory
A.

Pokud je na to dedikovaná VPS, je chroot skoro až zbytečný. Osobně provozuji spíš FreeBSD a jaily, ale v tomto případě bych to nezvažoval ani tak kvůli bezpečnosti, jako spíš kvůli snadnosti upgradů. (Do nového jailu si připravím nového binda, nakopíruju zóny, a lusknutím přepnu).
Název: Re:Debian Stretch, Bind9 ve virtualu - ma smysl chroot?
Přispěvatel: j 09. 10. 2017, 22:50:00
... je chroot skoro až zbytečný....
Dvere sou zbytecny zarizeni, stejne rozbijou okno ...

Ale jo, dalsi stroj na zesilovani dns utoku se mi urcite bude hodit, a mit na nem pripadne roota taky neni k zahozeni.
Název: Re:Debian Stretch, Bind9 ve virtualu - ma smysl chroot?
Přispěvatel: Miroslav Šilhavý 10. 10. 2017, 08:27:47
... je chroot skoro až zbytečný....
Dvere sou zbytecny zarizeni, stejne rozbijou okno ...

Ale jo, dalsi stroj na zesilovani dns utoku se mi urcite bude hodit, a mit na nem pripadne roota taky neni k zahozeni.

To je věc názoru. Pokud je VPS dedikovaná, tak takový útok povede k odepření služby, a podle mě je podobně náročné řešit binda v chrootu, jako obnovit VPS ze zálohy / vrátit se ke snapshotu. Asi záleží na konkrétní situaci.
Název: Re:Debian Stretch, Bind9 ve virtualu - ma smysl chroot?
Přispěvatel: . 10. 10. 2017, 21:47:03
Dvere sou zbytecny zarizeni, stejne rozbijou okno ...
Ne, zamykat ledničku, je zbytečný...
Název: Re:Debian Stretch, Bind9 ve virtualu - ma smysl chroot?
Přispěvatel: Miroslav Šilhavý 10. 10. 2017, 22:03:29
Dvere sou zbytecny zarizeni, stejne rozbijou okno ...
Ne, zamykat ledničku, je zbytečný...

Stejně rozbijou okno u ledničky.