bind9 trouble
Good Day, Victor!
Friday, November 22, 2002, 11:56:29 AM, you wrote:
VW> On 2002.11.22 at 10:55:52 +0300, Igor Suvorov wrote:
>> Running Non-Root:
>> -----------------
>>
>> Recent versions of named can be invoked with options that specify a non-root
>> user and/or group for named. Read the named man page for more information.
>> Note that if you run named as a user other than root, it will not be able to
>> find new interfaces that appear dynamically, such as during a PCMCIA card
>> insertion, or if you're running some flavors of IPSEC and/or IP over IP
>> tunnels. If you can live with those limitations, feel free to edit the
>> /etc/init.d/bind script to add appropriate options to the invocation of named.
>> Because of the issues, I do *not* want to ship the Debian package running
>> non-root by default... it would be very confusing to many users.
>>
>> Прочел ... Нда, обнаружение динамически втыкаемых карт конечно важнее
>> безопасности, ничего не скажешь.
>>
>> --
VW> Важнее. Пока ты это не поймешь, то настоящим сисадмином не станешь.
Поясни, почему. Я пока просто вижу конфликт между удобством
пользователя и безопасностью сервера. Почему сделан выбор в сторону
пользователя, мне действительно не очень понятно.
VW> Особенно - удобство обеспечения безопасности другими методами (например
VW> тот же IPSec).
Другими по сравнению с чем? ipsec не спасает от взлома сервера с
открытым 53 портом, на котором висит дырявый bind.
--
Igor
Reply to: