Re: bind9 auf vServer und komische Meldungen
Peter Blancke <blancke@gmx.de>:
>_Diesen_ hatte ich auf einen meiner VServer bei vollmar.net. Dort
>wuszte der Support von diesem Problem und riet zum Installieren von
>bind8. Damit war der Spuk vorbei. Ich habe dort einen Slave-bind8
>laufen.
Das liegt vermutlich daran, dass Bind9 Capabilities in einer Weise
nutzt, die mit Linux-vserver lange Zeit gar nicht und auch heute
nur bei entsprechender Konfiguration möglich sind.
Siehe dazu http://www.solucorp.qc.ca/howto.hc?projet=vserver&id=72
Da man als Kunde normalerweise nicht die Möglichkeit hat, an der
Vserver-Konfiguration zu schrauben, ist das keine Lösung.
Man kann aber auch Bind 9 so kompilieren, dass er auf Capabilities
verzichtet. Allerdings sollte man dann tunlichst von der Option,
den Daemon als nicht-root und in einer chroot-Umgebung laufen zu
lassen, Gebrauch machen. Sonst hätte jeder Angreifer nach einem
erfolgreichen Hack die vollen root-Rechte auf dem vServer.
Gruß, Harald
Reply to: