On Thu 20. April 2006 17:09, Zbyniu Krzystolik wrote: > Cześć, > Mam wątpliwości co do konfiguracji praw w bindzie. Czy 770 na > /var/lib/named to nie za dużo? zwłaszcza, że leży tam plik root.hints, > który ktoś z prawami usera lub grupy named może podmienić na "swój" > tworząc śliczną wyrwę klasy security. > > Przykład: > [EMAIL PROTECTED] ~]# su - named -s /bin/sh > [EMAIL PROTECTED] ~]$ cd /var/lib/named > [EMAIL PROTECTED] named]$ rm root.hint > rm: remove write-protected regular file `root.hint'? y > echo -n ". 6D IN NS DUPA.NET.\nDUPA.NET. 5w IN A 192.168.1.34\n" > root.hint > [EMAIL PROTECTED] named]$ killall -SIGHUP named > [EMAIL PROTECTED] named]$ host mbank.com.pl localhost > Using domain server: > Name: localhost > Address: 127.0.0.1#53 > Aliases: > > mbank.com.pl has address 192.168.1.34 > [EMAIL PROTECTED] named]$ > > Rozwiązania: > 1) (IMO ładniejsze) 750 na /var/lib/named; named.log oraz named.pid > wynocha do podkatalogu przykładowo /var/lib/named/var > 2) przenieść root.hint do /var/lib/named/etc > > Wiem - bind działa w silnie wykastrowanym chroocie, ale to nie zmienia > faktu, że powinien być zrobiony porządnie. Zwłaszcza, że nie widzę > przeciwwskazań. > RFC. > Minęło błogosławione 48 godzin i nikt nie wniósł uwag, więc rób, co uważasz za słuszne, byle bind dalej działał. Dla Twojego uspokojenia: przez kilka lat, zamiast nodów urządzeń, były w bindowym chroocie zwykłe pliki z prawami 666 i nikomu to nie przeszkadzało - więc nieprzemyślane prawa do plików czy katalogów w tym specu to nic nowego. > Zbyniu
-- Tomasz Wittner _______________________________________________ pld-devel-pl mailing list [email protected] http://lists.pld-linux.org/mailman/listinfo/pld-devel-pl
