[root@deep /]# cd /chroot/named/etc/
[root@deep etc]# chattr +i named.conf
Файл с атрибутом “+i” не может быть модифицирован, удален или переименован; к нему не может быть создана ссылка и никакие данные не могут быть записаны в него. Только суперпользователь может установить или снять этот атрибут.
Шаг 6
Добавьте новый UID и новый GID для запуска демона “named”, если они еще не определены. Это важно, так как запуск его как root нарушит правильное функционирование “окружения”, а использование существующих пользовательских id позволит вашему сервису получить доступ к другим ресурсам.
Проверьте файлы “/etc/passwd” и “/etc/group” на наличие свободных UID/GID. В нашем примере, мы используем номер “53” и имя “named”.
[root@deep /]# useradd -c “DNS Server” -u 53 -s /bin/false -r -d /chroot/named named 2>/dev/null :
Шаг 7
Мы должны сказать syslogd (демону системы syslog) о новом chrooted сервисе: Обычно, процессы обращаются к syslogd через “/dev/log”. chroot-овое “окружение”, этого сделать не сможет, поэтому syslogd необходимо объяснить, что нужно слушать “/chroot/named/dev/log” вместо принятого по умолчанию “dev/log”. Чтобы сделать это, нужно редактировать скрипт запуска syslog.
Редактируйте скрипт syslog (vi +24 /etc/rc.d/init.d/syslog) и измените следующую строку:
daemon syslogd -m 0
Должна читаться как:
daemon syslogd -m 0 -a /chroot/named/dev/log
Шаг 8
Скрипт для запуска ISC BIND/DNS по умолчанию настроен для запуска его вне chroot “окружения”. Мы должны внести следующие изменения в файл named (vi /etc/rc.d/init.d/named), чтобы исправить это:
[ -f /usr/sbin/named ] exit 0
Должна читаться:
[ -f /chroot/named/usr/sbin/named ] exit 0
[ -f /etc/named.conf ] exit 0
Должна читаться:
[ -f /chroot/named/etc/named.conf ] exit 0
daemon named
Должна читаться:
daemon /chroot/named/usr/sbin/named -t /chroot/named/ -unamed -gnamed
Опция “-t” говорит “named” запускаться, используя новое chroot окружение.
Опция “-u” определяет пользователя от имени которого стартует named.