Ama her an internete bağlı bir DNS sunucusunun güvenliği ile ilgili endişe edenler için farklı bir seçenek daha var; bind-chroot. DNS hizmetini veren sürecin yetkilerini kısıtlayarak dosya sistemindeki erişimini bir chroot ortamı ile kısıtlamaya yarayan özel bir yapılandırma.
Fedora üzerinden işlem yaptığımızı varsayarsak öncelikle sisteme bind-chroot'u kurmamız gerek.
$ sudo dnf install bind-chroot bind-utils
bind'ı kurduktan sonra sistemdeki bütün isimleri named olacak. Alan adlarımızı chroot olmayan bind içinde çalışır hale getirdikten sonra öncelikle bu hizmeti durdurup devre dışı bırakalım.
$ sudo systemctl stop named
$ sudo systemctl disable named
Bu aşamada hem named hem de named-chroot hizmetleri devre dışı olmalı. Şimdi chroot ortamımızı hazırlayalım (bu adım öncesinde /var/named/chroot/ altında sadece named pki klasörleri olmalı).
$ /usr/libexec/setup-named-chroot.sh /var/named/chroot/ on
Bu adımdan sonra /etc/named.conf dosyasına /var/named/chroot/etc/named.conf yolundan, /var/named/forward.zone dosyasına ise /var/named/chroot/var/named/forward.zone yolundan erişeceğiz.
Bundan sonra named-chroot hizmetini başlatıp etkinleştirebiliriz.
$ sudo systemctl start named-chroot
$ sudo systemctl enable named-chroot
Güvenlik duvarımız etkindi. DNS için yeni kural ekleyep ayarları uygulayalım:
$ sudo firewall-cmd --permanent --add-service=dns
$ sudo firewall-cmd --reload
İşlem tamam.
---