Вопрос: Журналы DNS по умолчанию создаются как файл журнала с разрешениями 644.
Процесс BIND наследует настройки umask от родительского процесса.
Это означает, что можно ограничить разрешения для всех файлов, созданных BIND.
Для CentOS / RHEL 5 и 6
1. Чтобы «другие» не могли читать / записывать / выполнять любые файлы, созданные BIND, добавьте следующую строку в /etc/sysconfig/named:
umask 0007
2. Это гарантирует, что файлы журналов, а также любые файлы журналов и другие файлы не будут читаться другими.
# ls -l /var/named/data/ total 4 -rw-rw----. 1 named named 2039 sep 9 10:34 named.run
Для CentOS / RHEL 7
1. Чтобы «другие» не могли читать / записывать / исполнять какие-либо файлы, созданные BIND, вам нужно изменить файл системного модуля.
Создайте каталог для вставок /etc/systemd/system/named.service.d/:
# mkdir /etc/systemd/system/named.service.d/
2. Создайте файл конфигурации /etc/systemd/system/named.service.d/umask.conf с параметром UMask, установленным на 0007.
Это позволит убедиться, что файлы журналов, а также любые файлы журналов и другие файлы не читаются другими , Содержимое файла конфигурации должно включать в себя:
# cat /etc/systemd/system/named.service.d/umask.conf [Service] UMask=0007
3. Поручите systemd перезагрузить информацию об службах:
# systemctl daemon-reload
4. Убедитесь, что drop-in было обнаружено:
# systemctl status named named.service - Berkeley Internet Name Domain (DNS) Loaded: loaded (/usr/lib/systemd/system/named.service; disabled) Drop-In: /etc/systemd/system/named.service.d └─umask.conf ...
Это гарантирует, что файлы журналов, а также любые файлы журналов и другие файлы не будут читаться другими.
# ls -l /var/named/data/ total 4 -rw-rw----. 1 named named 2039 sep 9 10:34 named.run