3)   Sécurisation

a)      SandBox

Le but de la Sand Box, en cas d’attaque pirate, est de limiter l’accès à seulement une infime partie du système de fichiers.

Pour cela, nous allons démarrer le daemon de BIND dans un environnement chrooté. L’effet obtenu sera de faire croire à BIND que son repertoire sera sa propre racine de système de fichiers.

Afin de mettre en oeuvre cette SandBox, il va falloir procéder à quelques modifications :

• Créer un utilisateur non-privilégié pour faire fonctionner BIND.
• Changer le propriétaire des fichiers de BIND.
• Créer un fichier PID dans notre environnement chrooté.
• Modifier le fichier de configuration principal.
• Démarrer BIND avec les bons paramètres.

Commençons la creation de l’utilisateur non-privilégié. Nous avons choisi d’utiliser le compte dns (UID = 1005). Ceci se fait par l’intermédiaire de la commande "adduser".

Nous créons maintenant le fichier PID pour bind, avec la commande "touch named.pid".

Le changement de propriétaire des fichiers de BIND (présents dans le répertoire "/etc/namedb") se fait grâce à la commande "chown dns *" dans le répertoire de base de BIND.

Les modifications qu’il faut apporter au fichier de configuration principale sont les suivantes :

• directory "/";
• pid-file "named.pid"; (ligne déjà présente dans notre fichier de configuration, qu’il faut activer en enlevant le caractère #)

La dernière modification concerne les paramètres de démarrage. Il suffit pour cela de mettre "-u 1005 -t /etc/namedb -c named.conf" en tant que paramètre pour l’option "named_flags" du fichier "/etc/rc.conf", au lieu de "-c /etc/namedb/named.conf".

Il ne nous reste plus qu’à redémarrer le serveur afin que le service DNS soit entièrement fonctionnel avec toutes les dernières modifications.