Assumindo o seguinte:
- Bind9 é executado no Debian e
- O daemon
named
do Bind9 é executado no ID do Unix do proprietário 'bind
' - As chaves DNS estão protegidas em
bind
group.
Eu uso a seguinte propriedade de arquivo:
chown -R root:bind /etc/bind
chown root:bind /var/lib/bind
chown -R bind:bind /var/lib/bind/*
chown -R root:bind /var/cache/bind # always filled with bind:bind ownership
chown -R bind:bind /var/log/bind # files are written from bind user
Então eu clamo para baixo permissão de arquivo de tal forma que:
chmod 2750 /etc/bind
chmod 0640 /etc/bind/* # keys are protected under bind group
chmod 2750 /etc/bind/keys
chmod 0640 /etc/bind/keys/*
chmod 2770 /var/lib/bind
chmod 0640 /var/lib/bind/*
chmod 0770 /var/lib/bind/dynamic
chmod 2770 /var/log/bind # give Group Special Bit
chmod 0640 /var/log/bind/*
É diferente para / var / log, onde é de propriedade integral do daemon nomeado.
chmod 0750 /var/log/bind
chmod 0640 /var/log/bind/*
Em seguida, atualize / adicione o arquivo /etc/logrotate.d/bind
para mostrar:
/var/log/bind/*.log
{
rotate 30
daily
dateext
dateformat _%Y-%m-%d
missingok
su bind bind
create 0640 bind bind
delaycompress
compress
notifempty
postrotate
/bin/systemctl reload bind9
endscript
}
Se você estiver em outra distribuição do Linux (ou seja, RedHat, Arch, Gentoo, CentOS), substitua a palavra bind
por named
acima.