我正在重新设置我的外部 DNS 服务器,并考虑这次跳过 chroot。并使用 apparmor 或 selinux 作为替代方案。有什么想法吗?
我正在使用团队 cymrus 绑定模板作为 ..模板:) 但是当更多人管理服务器时,我认为默认包是首选。
答案1
我绝对不是安全专家,所以我说的任何话都只是我个人的看法。
以 root 身份运行 BIND 而不使用 apparmor/chroot/selinux 并不是什么罪过。(BIND9绝不有已知漏洞允许代码执行。)
以非特权方式运行它会更好。
在装甲防护下运行甚至更好。
在 apparmor 下和非特权下运行两者效果更佳。
(此外,apparmor 与 chroot 相比 - apparmor 可能更受欢迎。)