如果我使用 AppArmor,是否需要 chroot BIND 9?

如果我使用 AppArmor,是否需要 chroot BIND 9?

可能重复:
chroot jail 中的 bind9 - 有必要吗?

我正在重新设置我的外部 DNS 服务器,并考虑这次跳过 chroot。并使用 apparmor 或 selinux 作为替代方案。有什么想法吗?

我正在使用团队 cymrus 绑定模板作为 ..模板:) 但是当更多人管理服务器时,我认为默认包是首选。

答案1

我绝对不是安全专家,所以我说的任何话都只是我个人的看法。

以 root 身份运行 BIND 而不使用 apparmor/chroot/selinux 并不是什么罪过。(BIND9绝不已知漏洞允许代码执行。)

以非特权方式运行它会更好。

在装甲防护下运行甚至更好。

在 apparmor 下和非特权下运行两者效果更佳。

(此外,apparmor 与 chroot 相比 - apparmor 可能更受欢迎。)

相关内容