Bei der Konfiguration von NAMED können durch folgende Optionen Sicherheitsaspekte beim Zugriff auf die Daten berücksichtigt werden:
Mit der Option allow-query der options-Anweisung kann die Berechtigung, Anfragen an den Name Server zu richten, auf einzelne Hosts eingeschränkt werden.
Mit der Option allow-transfer der options-Anweisung kann die Berechtigung, Zonentransfers vom Name Server zu erhalten, auf einzelne Hosts eingeschränkt werden.
Zonenspezifisch kann mit der Option allow-update der zone-Anweisung die Möglichkeit des dynamischen Updates der Daten auf einzelne Hosts eingeschränkt werden.
TSIG
Ein weiterer Sicherheitsmechanismus sind die Transaction SIGnatures (TSIG). Sie unterstützen die Server-zu-Server-Kommunikation, einschließlich Zonentransfer, Notify und rekursiven Queries.
TSIG ist schlüssel-basiert und wird auf die Kommunikation zwischen zwei DNS Name Servern angewendet. TSIG erzeugt zunächst einen Schlüssel (automatisch oder manuell), den sich die beiden Server teilen. Durch Einträge in den Konfigurationsdateien der Server werden Übergabe und Verwendung der Schüssel gesteuert.
Eine ausführliche Beschreibung über die Arbeitsweise von TSIG finden Sie im Handbuch „BIND9 Administrator Reference Manual“ des Internet Software Consortium.
DNSSEC
DNS Security (DNSSEC)-Erweiterungen erlauben die kryptographische Authentifizierung der DNS Information. Sie sind in RFC 2535 definiert.
DNSSEC verwendet öffentliche Schlüssel für die Verschlüsselung. Dadurch können Zonen-Administratoren die Zonendaten digital signieren und sich authentifizieren. Zwischen den Administratoren der Parent-Zone und/oder Child-Zone muss eine Kommunikation bestehen, um Schlüssel und Signaturen zu übertragen.
DNSSEC stellt u.a. folgende Tools zur Verfügung:
dnssec-keygen für die Schlüsselgenerierung
dnssec-signzone für die Signierung einer Zone
Eine ausführliche Beschreibung über die Arbeitsweise von DNSSEC finden Sie im Handbuch „BIND9 Administrator Reference Manual“ des Internet Software Consortium.
NAMED ohne Root-Berechtigung ablaufen lassen
Standardmäßig wird NAMED mit Root-Berechtigung ausgeführt. Um zu verhindern, dass bei eventuellen Sicherheitsproblemen der Software ein Eindringling vollen Zugriff auf das Dateisystem erhalten bzw. Kommandos unter Root-Berechtigung ausführen kann, ist es möglich, NAMED auch ohne Root-Berechtigung ablaufen zu lassen. Mithilfe des /etc/default/TCP-IP-SV.named-Parameters USERID können Sie NAMED unter einer beliebigen Benutzerkennung ablaufen lassen. Es empfiehlt sich, für USERID die niedrigst-privilegierte Benutzerkennung zu spezifizieren.
Für die Arbeitsdateien, die in der Konfigurationsdatei named.conf für die Einträge directory und pidfile vereinbart wurden, muss die in USERID definierte Benutzerkennung Schreib- und Leseberechtigung erhalten.