中国移动DNS服务器安全配置手册24850.docx

《中国移动DNS服务器安全配置手册24850.docx》由会员分享，可在线阅读，更多相关《中国移动DNS服务器安全配置手册24850.docx（34页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、密 级：文档编号号：项目代号号：中国移动动企业信信息化系系统DNS服服务器安全配置置手册Verssionn *1.*0中国移动动通信有有限公司司二零零四四年十一一月拟 制制:审 核核:批 准准:会 签签:标准化:版本控制制版本号日期参与人员员更新说明明分发控制制编号读者文档权限限与文档的的主要关关系1创建、修修改、读读取负责编制制、修改改、审核核2批准负责本文文档的批批准程序序3标准化审审核作为本项项目的标标准化负负责人，负负责对本本文档进进行标准准化审核核4读取5读取1 常常见的DDNS攻攻击61.1 区域传传输61.2 版本发发现61.3 DoSS攻击61.4 缓存破破坏(ccachhe

2、ppoissoniing)71.5 缓冲区区溢出771.6 其他攻攻击技术术72 现有有的DNNS攻击击防范措措施82.1 限制区区域传输输82.2 限限制版本本欺骗882.3 减轻DooS所造造成的损损失82.4 防御缓缓存破坏坏82.5 防御缓缓冲区溢溢出92.6 应用Boogonn过滤92.7 Spllit DNSS92.8 用路由由器和防防火墙做做DNSS的安全防防护93 BIIND安安全配置置103.1 配置环环境：1103.2 启动安安全选项项103.3 配置文文件中的的安全选选项1003.3.1 安安全日志志文件1113.3.2 隐隐藏版本本信息1113.33.3 禁止DNNS域

3、名名递归查查询1113.3.4增加加出站查查询请求求的IDD值的随随机性1123.3.5 限限制对DDNS服服务器进进行域名名查询的的主机11233.3.6限制制对DNNS服务务器进行行域名递递归查询询的主机机123.3.7指定定允许哪哪些主机机向本DDNS服服务器提提交动态态DNSS更新1223.3.8 限限制对DDNS服服务器进进行区域域记录传传输的主主机1333.3.9 指指定不接接受哪些些服务器器的区域域记录传传输请求求133.3.10 一些资资源限制制选项1133.3.11 定义ACCL地址址名1443.3.12控控制管理理接口1143.4 通过TSSIG对对区域记记录传输输进行认认

4、证和校校验1553.4.1 用用TSIIG签名名来进行行安全的的DNSS数据库库手工更更新153.4.2对区区域记录录传输（自自动或手手工）进进行TSSIG签签名1663.5 实现BIIND的的chrroott173.5.1 cchrooot虚虚拟根环环境1773.5.2 操操作方法法184 Wiindoows 20000 DDNS安安全配置置(MSSDNSS)2114.1 开启日日志功能能224.2 定期更更新根服服务器信信息2334.3 禁止区区域文件件动态更更新2444.4 禁止区区域传输输254.55 其它它设置2265 安全全检查列列表2771常见的的DNSS攻击目前DNNS受到到的

5、网络络攻击大大致有这这么几种种：区域域传输、版版本发现现、DooS、高高速缓存存破坏、缓缓冲区溢溢出等。1.1 区域传传输进行区域域传输攻攻击DNNS的方方法是执执行无限限制的区区域传输输或捏造造许可证证，造成成的后果果是主管管的域名名信息泄泄露。区区域传输输一般用用于主DDNS服服务器和和辅DNNS服务务器之间间的数据据同步，DNS服务器可以从主服务器获取最新区数据文件的副本，也就可以获得整个授权区域内的所有主机信息。一旦这些信息泄漏，攻击者就可以根据它轻松地推测主服务器的网络结构，并从这些信息中判断其功能或发现那些防范措施较弱的机器。1.2 版本发发现发现软件件版本有有助于攻攻击者探探测服

6、务务器。利利用版本本发现攻攻击DNNS的方方法是查查询版本本文件，造造成的后后果是软软件版本本泄密。软软件版本本信息很很少被用用到，应应该被改改变或清清空。BBINDD（Beerkeeleyy Innterrnett Naame Dommainn）DNNS 守守护进程程会响应应许多ddig版版本查询询，允许许远程攻攻击者识识别它的的版本。1.3 DoSS攻击Dos是是Denniall off Seerviice的的缩写，意意为拒绝绝服务。DDoS攻攻击是网网络上一一种简单单但很有有效的破破坏性攻攻击手段段，其中中SYNN Flloodd攻击是是最为常常见的DDoS攻击方方式。SYN Flooo

7、d攻攻击就是是攻击者者利用伪伪造的IIP地址址，连续续向被攻攻击的服服务器发发送大量量的SYYN包。被被攻击的的服务器器收到这这些SYYN包后后，连续续向那些些虚假的的客户机机（伪造造的IPP地址指指向的客客户机）发发送ACCK确认认包。很很显然，服服务器是是不会收收到ACCK确认认包的，于于是服务务器就只只能等待待了。当当服务器器因超时时而丢弃弃这个包包后，攻攻击者虚虚假的SSYN包包又源源源不断地地补充过过来。在在这个过过程中，由由于服务务器不停停顿地处处理攻击击者的SSYN包包，从而而正常用用户发送送的SYYN包会会被丢弃弃，得不不到处理理，从而而造成了了服务器器的拒绝绝服务。1.4 缓

8、存破破坏(ccachhe ppoissoniing)这是DNNS面临临的一种种很普遍遍的攻击击它利用用了DNNS的缓缓存机制制使某个个名字服服务器在在缓存中中存入错错误的数数据。当当某名字字服务器器A收到递递归查询询请求，而而A的数据据库内没没有相应应的资源源记录，那那么它就就会转发发给名字字服务器器B，B做出应应答，把把回答放放在报文文的回答答区中，同同时又会会在附加加区中填填充一些些和查询询不太相相关的数数据，AA接收这条条应答报报文，而而且对附附加区中中的数据据不做任任何检查查，直接接放在缓缓存中。这这样使得得攻击者者可以通通过在BB中存放放一些错错误的数数据，让让A把这些些错误的的数据

9、存存放在缓缓存中。在在这些数数据的生生存期TTTL内，A又可能能会把它它们发送送给别的的服务器器，导致致更多的的服务器器缓存中中毒。虽虽然缩短短缓存数数据的TTTL能减小小受害面面，但这这种方法法会给服服务器的的性能带带来负面面影响。1.5 缓冲区区溢出和任何其其他应用用程序一一样，DDNS也也容易出出现内存存溢出。授授权DNNS服务务器可以以和Innterrnett的任何何系统交交互，所所以DNNS已经经成为缓缓冲区溢溢出漏洞洞最普遍遍的受害害者。1.6 其他攻攻击技术术如果攻击击者可以以嗅探网网络流量量，后果果将是不不可预料料的。欺欺骗区域域传输、欺欺骗查询询应答和和中间人人攻击都都很容易

10、易进行。网网络泄密密是较高高风险的的漏洞。对对于一次次恶意攻攻击来说说，攻击击一台DDNS就就像逆向向工作。通通过中间间人进行行的DNNS查询询欺骗完完全可以以被攻击击者控制制。查询询流量通通常是由由UDPP完成的的，并且且只交换换公开信信息。2 现有有的DNNS攻击击防范措措施DNS服服务器最最常见的的安全措措施就是是限制谁谁能访问问它：服服务器只只需要和和有限的的终端客客户端通通信。限限制访问问可以阻阻止未授授权用户户使用服服务器，从从而有可可能阻止止查看漏漏洞级别别的行为为。为了了尽量减减少暴露露的漏洞洞，除了了打开有有数据进进出的授授权服务务器的UUDP端端口533外，所所有的端端口都

11、应应该禁止止Intternnet访访问。在在一些特特殊情况况下，TTCP端端口533也需要要打开，但但应该尽尽可能将将其关闭闭。2.1 限制区区域传输输可以禁用用区域传传输，而而使用rrsynnc软件件（htttp:/rrsynnc.ssambba.oorg）进进行安全全的文件件同步。在在DNSS守护进进程外部部，通过过加密通通道进行行区域文文件同步步，可以以很好地地分离守守护进程程操作和和数据同同步操作作。如果果区域传传输被禁禁止，攻攻击者将将接收到到传输失失败的消消息。2.2 限制版版本欺骗骗通过相应应的设置置限制版版本欺骗骗。2.3 减轻DDoS所所造成的的损失许多操作作系统特特性可以以

12、遏制SSYN包包攻击，并并且许多多类似的的网络设设备可以以验证包包和丢掉掉欺骗包包。防御御DoSS攻击的的最好方方法是采采用事故故反应计计划和IIDS传传感器数数据。2.4 防御缓缓存破坏坏缓存破坏坏很容易易防御。所所有DNNS守护护进程都都可以选选择关闭闭缓存。如如果缓存存不能用用，对服服务器所所做出的的虚假回回应就没没有意义义。大多多数最新新的守护护进程已已经有了了针对缓缓存破坏坏的补丁丁。2.5 防御缓缓冲区溢溢出许多工具具可以防防止未授授权溢出出。防缓缓冲区溢溢出的编编辑器如如staackgguarrd（hhttpp:/wwww.immmunnix.orgg/prroduuctss.h

13、ttml#staackgguarrd）应应该和最最新的DDNS守守护进程程相结合合。但是是，虽然然在chhrooot环境境中运行行守护进进程和限限制访问问可以限限制暴露露点，真真正阻止止缓冲区区溢出需需要一个个从底层层开始就就安全的的平台。一一个安全全的操作作系统和和守护进进程是减减少缓冲冲区溢出出的最好好的工具具。2.6 应用BBogoon过滤滤拦截无效效和无用用的Innterrnett IPP地址，可可以减少少DoSS攻击时时的网络络负担，有有助于通通知网管管关注网网络问题题。在网网络边界界，防火火墙和应应用程序序访问控控制列表表内部，应应用Roob TThommas的的Boggon Li

14、sst，可可以可靠靠地清除除不需要要的网络络流量，并并防止滥滥用网络络。Boogonn Liist见见：htttp:/m/Doocummentts/bbogoon-llistt.httml 。2.7 Spllit DNSS采用Spplitt DNNS技术术把DNNS系统统划分为为内部和和外部两两部分，外外部DNNS系统统位于公公共服务务区，负负责正常常对外解解析工作作：内部部DNSS系统则则专门负负责解析析内部网网络的主主机。当当内部要要查询IInteernett上的域域名时。就就把查询询任务转转发到外外部DNNS服务务器上，然然后由外外部DNNS服务务器完成成查询任任务。把把DNSS系统分分

15、成内外外两个部部分的好好处在于于Intternnet上其其它用户户只能看看到外部部DNSS系统中中的服务务器，而而看不见见内部的的服务器器。而且且只有内内外DNNS服务务器之间间才交换换DNSS查询信信息，从从而保证证了系统统的安全全性。采采用这种种技术可可以有效效地防止止信息泄泄漏。2.8 用路由由器和防防火墙做做DNSS的安全全防护采用一些些网络及及安全设设备能更更有效的的保护DDNS的的安全。如果在没没有防火火墙的情情况下，可可以直接接在路由由器上设设置ACCL访问问控制列列表，只只允许对对DNSS的TCCP和UUDP的的53端端口进行行访问，其其余访问问一律丢丢弃；如果采用用防火墙墙来

16、保护护则能起起到更好好效果，同样的对DNS的访问除了TCP和UDP的53端口开放之外，拒绝其他的所有访问。同时，当当前主流流的防火火墙如CChecckPoointt和Neetcrreenn等都有防DDNS欺欺骗的功功能，即即使其他他非DNNS的访访问或攻攻击行为为通过封封装成553端口口伪造成成正常的的DNSS请求，防防火墙也也可以对对这些虚虚假请求求进行检检查，只只要是不不符合DDNS服服务的标标准，则则一律过过滤，保保证攻击击行为无无法通过过53端端口来穿穿透防火火墙。3 安全全配置DDNS守守护进程程3.1 加固操作作系统安装任何何守护进进程之前前，安全全可靠的的操作系系统应该该是一个个

17、先决条条件。在在UNIIX/LLINUUX系统统上，cchrooot是是一种减减小系统统暴露程程度来降降低由后后台进程程引起的的安全问问题的有有效方法法。chhrooot是一一个相当当简单的的概念，运运行在cchrooot封封闭环境境中的应应用程序序，不能能和封闭闭环境外外的文件件系统的的任何部部分进行行交互。在在这样的的环境中中运行BBINDD，能够够增加DDNS系系统的安安全性。对于Wiindoows系系统来说说，应该该及时安安装Wiindoows系系统关键键安全更更新补丁丁，防止止利用WWinddowss操作系系统漏洞洞而造成成的攻击击。3.2BBINDD安全配配置3.1、配置环环境：F

18、reeeBSDD 4.1-RRELEEASEE；BINDD 8.2.33。3.2、启动安安全选项项nameed进程程启动选选项：-r：关关闭域名名服务器器的递归归查询功功能（缺缺省为打打开）。该该选项可可在配置置文件的的opttionns中使使用rrecuursiion选项覆覆盖。-u 和-g ：定义域域名服务务器运行行时所使使用的UUID和和GIDD。这用用于丢弃弃启动时时所需要要的rooot特特权。-t ：指指定当服服务器进进程处理理完命令令行参数数后所要要chrroott()的的目录。3.3、配置文文件中的的安全选选项Solaais、FreeeBSSD、Linnux等等系统，Binnd的

19、配置文文件为：/etcc/naamedd.coonf3.3.1、安全日日志文件件操作方法法：假如希望望记录安安全事件件到文件件中，但但同时还还希望保保持原有有的日志志模式，可可以添加加以下内内容：logggingg chhannnel my_seccuriity_chaanneel fille my_seccuriity_fille.llog veersiionss 3 sizze 220m; sevveriity inffo; ; caateggoryy seecurrityy my_ssecuuritty_cchannnell; deffaullt_ssysllog; deefauult_

20、debbug; ; 其中中my_seccuriity_chaanneel是用用户自定定义的cchannnell名字，my_ssecuuritty_ffilee.loog是安安全事件件日志文文件，可包含含全路径径（否则是是以naamedd进程工工作目录录为当前前目录）。安全事事件日志志文件名名为myy_seecurrityy_fiile.logg，保存三三个最近近的备份份（my_seccuriity_fille.llog00、my_seccuriity_fille.llog11、my_seccuriity_fille.llog22），日志志文件的的最大容容量为220MBB，（如果达达到或超超这一

21、数数值，直到该该文件被被再次打打开前，将不再再记录任任何日志志消息。缺缺省（省省略）时时是没有有大小限限制的。）操作结果果：日志记录录完整，所所有异常常问题都都会在日日志文件件记录。3.3.2、隐藏版版本信息息操作方法法：在opttionns节中中增加自自定义的的BINND版本本信息，可可隐藏BBINDD服务器器的真正正版本号号。verssionn WWho knoows?; / veersiion 9.99.9; 操作结果果：此时时如果通通过DNNS服务务查询BBINDD版本号号时，返返回的信信息就是是Whho kknowws?，隐藏藏了真实实的版本本号。3.3.3、禁止DDNS域域名递归归

22、查询操作方法法要禁止DDNS域域名递归归查询，在opttionns（或特定定的zoone区区域）节中增增加：recuursiion no; fetcch-ggluee noo;操作结果果防止了DDNS域域名的递递归查询询。3.3.4、增加出出站查询询请求的的ID值的的随机性性操作方法法在opttionns节中中增加：use-id-poool yyes; 则服务器器将跟踪踪其出站站查询IID值以以避免出出现重复复，并增加加随机性性。注意意这将会会使服务务器多占占用超过过1288KB内内存。（缺省省值为nno操作结果果服务器将将跟踪其其出站查查询IDD值以避避免出现现重复，并增加加随机性性。注意意

23、这将会会使服务务器多占占用超过过1288KB内内存，缺缺省值为为no。）3.3.5、限制对对DNSS服务器器进行域域名查询询的主机机操作方法法在opttionns（或或特定的的zonne区域域）节中中增加：alloow-qquerry ; addrresss_maatchh_liist是是允许进进行域名名查询的的主机IIP列表表，如1.2.33.4; 5.6.77/244;。操作结果果限制对DDNS服服务器进进行域名名查询的的主机。3.3.6、限制对对DNSS服务器器进行域域名递归归查询的的主机操作方法法在opttionns（或特定定的zoone区区域）节中增增加：alloow-rrecuur

24、siion ; addrresss_maatchh_liist是是允许进进行域名名递归查查询的主主机IPP列表，如 1.22.3.4; 5.66.7/24;。操作结果果限制了对对DNSS进行域域名递归归查询的的主机。3.3.7、指定允允许哪些些主机向向本DNNS服务务器提交交动态DDNS更更新操作方法法：在opttionns（或特定定的zoone区区域）节中增增加：alloow-uupdaate ; adddresss_mmatcch_llistt是允许许向本DDNS服服务器提提交动态态DNSS更新的的主机IIP列表表，如 1.22.3.4; 5.66.7/24;。缺省时为为拒绝所所有主机机的

25、提交交。操作作结果缺省时为为拒绝所所有主机机的提交交，完成成操作后后只有指指定的主主机可以以提交动动态DNNS更新新。3.3.8、限制对对DNSS服务器器进行区区域记录录传输的的主机操作方法法在opttionns（或或特定的的zonne区域域）节中中增加：alloow-ttrannsfeer ; addrresss_maatchh_liist是是允许进进行区域域记录传传输的主主机IPP列表，如如1.2.33.4; 55.6.7/224;。操作结果果只有特定定的主机机可以进进行区域域传输，降降低了受受区域传传输攻击击的风险险。3.3.9、指定不不接受哪哪些服务务器的区区域记录录传输请请求操作方法

26、法在opttionns（或或特定的的zonne区域域）节中中增加：blacckhoole ; adddresss_mmatcch_llistt是不接接受区域域记录传传输请求求的主机机IP列表表，如1.22.3.4; 5.6.77/244;。操作结果果不允许特特定的主主机进行行区域传传输，降降低了受受区域传传输攻击击的风险险。3.3.10、一些资资源限制制选项l 操作方法法不同用用户可根根据实际际情况灵灵活设置置，但一一定要注注意不当当的设置置会损失失DNSS服务的的性能。coreesizze ; / ccoree duump的的最大值值。缺省省为deefauult。dataasizze ; /

27、 服服务器所所使用的的最大数数据段内内存。缺缺省为 deefauult。filees ; / 服务务器能同同时打开开的最大大文件数数。缺省省为/ uunliimitted（不限制制）。/ （注注意，并并非所有有操作系系统都支支持这一一选项。）max-ixffr-llog-sizze ; / （目目前版本本暂不使使用。）限限制增量量区域记记录传输输时会话话日志的的大小。staccksiize ; / 服服务器所所使用的的最大堆堆栈段内内存。缺缺省为 deefauult。操作结果果不同用户户可根据据实际情情况灵活活设置，但但一定要要注意不不当的设设置会损损失DNNS服务务的性能能。3.3.11、定

28、义ACCL地址址名操作方法法即用于上上面的。注注意，如如果要使使用这里里定义的的列表名名，必须须先定义义，后使使用！例如：acl inttrannet 1992.1168/16; ; acll paartnner !1722.166.0.1; 1772.116/112; / 除1722.1668.00.1外外1722.166.0.0/112网络络中其它它主机 ; BINDD已内置置以下四四个ACCL：all / 允许许所有主主机nonee / 禁止止所有主主机locaalhoost / 本机机的所有有网络接接口locaalneets / 本机机所在网网络操作结果果此操作不不会对系系统产生生不良

29、影影响。3.3.12、控制管管理接口口BINND域名名服务器器的一个个有用功功能操作方法法控制管理理接口cconttrolls节语语法格式式： coontrrolss iinett ipp_adddr pportt ipp_poort aalloow ; ; uunixx paath_namme permm nuumbeer oowneer nnumbber ggrouup nnumbber; ; conntrools节节提供管管理接口口。如果果使用第第一种(ineet)，则在指指定IPP（接口）和端口口上监听听，但只允允许在aalloow中限限定允许许与其连连接的IIP地址址列表。如如果使用

30、用第二种种(unnix)，则产产生一个个FIFFO的控控制管道道，权限限、属主主和用户户组都由由其参数数限定。操作结果果上述操作作建议在在正确配配置时不不会对系系统造成成不良影影响，但但建议谨谨慎使用用。3.4、通过TSSIG对对区域记记录传输输进行认认证和校校验对区域传传输进行行认证和和校验可可以降低低DNSS服务器器遭受区区域传输输攻击的的风险。首先确保保BINND域名名服务器器软件已已更新到到最新版版本。在BINND 88.2+中，能能够使用用事务签签名（TTrannsacctioon SSignnatuuress，即TSSIG！）来对区区域记录录数据进进行验证证和校验验。它要要求在主主

31、域名服服务器和和辅助域域名服务务器上配配置好加加密密钥钥，并通通知服务务器使用用该密钥钥与其它它域名服服务器通通讯。（注意，TTSIGG的使用用要求域域名服务务器必须须进行时时钟同步步。）3.4.1、用TSIIG签名名来进行行安全的的DNSS数据库库手工更更新如果需要要用TSSIG签签名来进进行安全全的DNNS数据据库手工工更新，具具体操作作步骤很很简单：3.4.1.11、使用BIIND自自带的ddnskkeyggen工工具生成成TSIIG密钥钥。# dnnskeeygeen -H 1128 -h -n tsiig-kkey.则会生成成两个文文件。Ktssig-keyy.+1157+00000

32、0.keyy内容容如下：tsiig-kkey. INN KEEY 5513 3 1157 awwwLOttRfppGE+rRKKF2+DEiiw= ；Kviip-kkey.+1557+0000000.pprivvatee内容容如下：Priivatte-kkey-forrmatt: vv1.22 Allgorrithhm: 1577 (HHMACC) KKey: awwwLOOtRffpGEE+rRRKF22+DEEiw= 。注意这些些密钥都都已经过过BASSE644编码了了。3.4.1.22 主域域名服务务器配置置文件的的相关内容容将它们放放到本地地域名服服务器的的配置文文件中。例例如：key

33、 tsiig-kkey. alggoriithmm hmmac-md55; ssecrretawwwLOttRfppGE+rRKKF2+DEiiw=; ; zonee ddns.nsffocuus.ccom . . allloww-uppdatte keey ttsigg-keey. ; ; 重启naamedd守护进进程。然后后将这两两个密钥钥文件复复制到客客户端系系统（或或辅助域域名服务务器），例例如为/varr /nammed/tsiig目录录。最后后运行如如下命令令即可：nsuppdatte -k /varr/naamedd/tssig:tsiig-kkey. 3.4.2、对区域域记录传

34、传输（自自动或手手工）进进行TSSIG签签名如果需要要对区域域记录传传输（自自动或手手工）进进行TSSIG签签名，则则：3.4.2.11、用dnsskeyygenn生成TSSIG密密钥方法同44.1.1。3.4.2.22、主域名名服务器器配置文文件的相相关内容容/ 定定义认证证的方法法和共享享密钥key massterr-sllavee allgorrithhm hhmacc-mdd5; secrret mZZiMNNOUYYQPMMNwssDzrrX2EENw=; ; / 定定义辅助助域名服服务器的的一些特特性servver 1922.1668.88.188 trranssferr-foor

35、maat mmanyy-annsweers; keeys mmastter-slaave; ; ; / 区区域记录录定义zonee nnsfoocuss.coom tyype massterr; filee m; allloww-trranssferr 1922.1668.88.188; ; ; 3.4.2.33、辅助域域名服务务器配置置文件的的内容（节节选）/ 定定义认证证的方法法和共享享密钥key massterr-sllavee allgorrithhm hhmacc-mdd5; secrret mZZiMNNOUYYQPMMNwssDzrrX2EENw=; ; / 定定义与主主域名服服

36、务器通通讯时的的一些特特性servver 1922.1668.88.199 trranssferr-foormaat mmanyy-annsweers; keeys mmastter-slaave; ; ; / 区区域记录录定义zonee nnsfoocuss.coom tyype slaave; fiile baak.ddb.nnsfoocuss.coom; mastterss 1922.1668.88.199; ; allloww-trranssferr nonne; ; ; 3.5、实现BIIND的的chrroott3.5.1 cchrooot虚虚拟根环环境CHROOOT虚虚拟根环环境C

37、HROOOT就就是Chhangge RRoott，即虚拟拟根环境境，也就就是改变变程序执执行时所所参考的的根目录录位置。 chrroott基本上上重定义义了一个个程序的的运行环环境。更更确切地地说，它它重定义义了一个个程序（或或登录会会话）的的“ROOOT”目目录或“/”。 也就是是说，对对于chhrooot了的的程序或或sheell来来说，cchrooot环环境之外外的目录录是不存存在的。一般的目目录结构构是： /binn/sbiin /usrr/biin /hommeCHROOOT的的目录结结构： /binnd/ /binnd/bbin /binnd/uusr/binn /binnd/hh

38、omee CHROOOT的的优点限制使用用者所能能执行的的程序，如如settuidd程序。防止使用用者存取取某些特特定文件件，如/eetc/passswdd。 防止入侵侵者运行行/biin/rrm -rf /。 提供Guuestt服务以以及处罚罚破坏者。 增强系统统的安全全3.5.2 操操作方法法以FreeeBSSD系统统平台为为例：步骤一：BINND-88的最新新源代码码版本获获取和安安装请到ISSC FFTP站站点下载载BINND的最最新版本本。BINDD 8：htttp:/wwww.iisc.orgg/prroduuctss/BIIND/binnd8.htmml BINND 99：htt

39、tp:/wwww.iisc.orgg/prroduuctss/BIIND/binnd9.htmml 步骤二：构造静静态(sstattic)的nammed和和nammed-xfeer二进进制文件件在编译和和安装后后，你需需要构造造可执行行文件的的静态链链接版本本。只要要对%BBINDD%/ssrc/porrt/ffreeebsdd目录下下的Maakeffilee.seet文件件稍加修修改后即即可。修改改文件内内容：CDEEBUGG= -O2 -g 替换为：CDEEBUGG= -O2 -sttatiic 切换到BBINDD的源代代码路径径，执行行maake cleean和maake命令。在在下面的

40、的步骤中中将会把把这些文文件复制制到chhrooot()目录下下。# cdd /ttmp/binnd/ssrc # maake cleean ; mmakee 本步骤构构造的静静态链接接执行文文件在运运行时无无需装载载动态链链接库。在在chrroott()环环境中，这这种“独立”可执行行文件可可避免出出现缺少少链接库库文件问问题。它它在chhrooot()环境中无无需任何何静态链链接库，可可使服务务配置简简单化。其其它所有有的网络络守护进进程也可可以编译译和使用用这种静静态链接接版本。步骤三：构造BBINDD目录为chrroott()环环境构造造BINND目录录。这个个目录将将在chhrooo

41、t()环境中中被BIIND当当作系统统根目录录。在这这里我使使用/cchrooot/binnd作为为chrroott后的根根目录。# cdd /cchrooot/binnd # mkkdirr /cchrooot # mkkdirr /cchrooot/devv # mkkdirr /cchrooot/etcc # mkkdirr /cchrooot/etcc/naameddb # mkkdirr /cchrooot/usrr # mkkdirr /cchrooot/usrr/sbbin # mkkdirr /cchrooot/varr # mkkdirr /cchrooot/varr/ruun 需要要复制以以下文件件到其下下的相应应子目录录中，和进行行一些必必要的处处理：# cpp /eetc/nammedbb/naamedd.coonf /chhrooot/bbindd/ettc/ # cpp /eetc/loccalttimee /cchrooot/binnd/eetc/ # grrep binnd /etcc/grroupp /chhrooot/bbindd/ettc/ggrouup # cpp -RR /eetc/nammedbb/ /chrroott/biind/etcc/naameddb/ # mkknodd /cchrooot/binnd/ddev