DNSセキュリティの設定:実践でも役立つLPICドリル(10)(2/4 ページ)
本連載は、Linux 認定試験 LPICに対応しています。一般的なLinuxユーザーレベルのトピックは省略し、システム管理とサーバ管理の内容を取り上げています。また、LPIC対策だけでなく、関連するトピックについて系統的な理解を問う問題も出題しています。連載の特徴は、対象となるプログラムのバージョンを可能な限り明記していること、比較的新しくまとまった解説がまだ少ないトピック、重要だが理解しにくいトピックを優先して取り上げていることです。問題を解き、その解説を読むことにより実践でLinuxを活用できる力を身に付けます。
今回のディストリビューション: CentOS 5.2
■問題を解く鍵 【3】
【3】DNSサーバの最小権限での実行とルートディレクトリの変更方法
(1)非特権ユーザーでの実行
サーバプロセスをroot権限で実行するのは危険です。侵入者が不正な手段でroot権限を獲得した場合、ファイルシステムへの無制限のアクセスが可能となってしまいます。この危険を防ぐため、サーバプロセスnamedを、-uオプションにより非特権ユーザーを実効ユーザーに指定して起動することができます。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
(2)chroot
namedにオプション-tでディレクトリを指定すると、プロセス起動後にシステムコールchroot()を発行して、ルートディレクトリを-tで指定したディレクトリに変更します。このため、もし侵入者が不正な手段でnamedの権限を獲得しても、アクセスはchrootしたディレクトリ内に限定されるため、被害を最小限に食い止めることができます。
-tを使用する場合は、設定ファイルやDNSのゾーンファイルやデバイスファイルなど、起動後にアクセスするファイルはすべて、chrootしたディレクトリの下になければなりません。
CentOS 5.2の場合は、bind-chrootパッケージをインストールすると/var/named/chrootディレクトリ以下に必要なファイルが用意され、bindパッケージに含まれている/etc/sysconfig/namedファイルに、“ROOTDIR=/var/named/chroot”の記述があるため、“/etc/init.d/named start”コマンドを実行すると、namedは、"-t /var/named/chroot”のオプションを付けて起動されます。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
Copyright © ITmedia, Inc. All Rights Reserved.