Subtitles of the Movie

ÿþ [00:00:00.0] Si el BIND se ejecuta normalmente y es atacado por una persona astuta exitosamente. El atacante puede tener acceso a todo lo que... [00:00:08.0] el usuario del BIND puede acceder, lo cual se establece predefinidamente. Usted puede cambiar el usuario bajo el cual el BIND se ejecuta usando la opción "-u". [00:00:15.0] Por ejemplo "/user/local/sbin/named -u named" iniciará el BIND como el usuario nombrado. [00:00:26.0] Esto brinda más seguridad ya que el usuario nombrado no tiene derechos en el sistema y no debe hacer mucho daño. [00:00:33.0] El problema puede ocurrir cuando el atacante usa el usuario nombrado para lanzar una ruta de explotación local, usando un programa vulnerable en el sistema. [00:00:40.0] Mientras que ejecutar el BIND como el usuario enunciado ayuda en la seguridad, es posible ir más lejos para prevenir daños de los ataques. [00:00:48.0] El BIND Jailing hace referencia a ejecutarlo en su propio entorno usando la función de raíz "ch". [00:00:53.0] La función de raíz "ch" cambia lo que el programa ve como su archivo de sistema raíz a otro directorio. [00:01:00.0] Por ejemplo, en ésta lección encerraremos a BIND en el directorio "/var/named", así el atacante nunca podrá sacarlo de ése directorio... [00:01:09.0] ya que la aplicación del BIND considerará a éste como su raíz. Asegúrese que otra instancia de "named" no se ejecuta. [00:01:15.0] El primer paso es crear la carcél. Como el BIND ve esto como su raíz, necesitará copiar todo lo que el BIND necesita para ejecutarse a ésta carpeta. [00:01:26.0] Si esto no existe, cree el directorio "/var/named". Podemos usar éste como la carcél. [00:01:32.0] Ahora cree los directorios "a /var/named/var", "a /var/named/etc", "/var/named/var/run" y "/var/named/var/named". [00:01:58.0] Esto puede parecer confuso, pero para la aplicación del BIND "/var/named" ahora será "/copy/etc/named.conf" para "/var/named/etc". [00:02:15.0] Mueva sus archivos de zona desde "/var/named" a "/var/named/var/named". Asegúrese que todos los archivos sean legibles por el usuario nombrado,... [00:02:37.0] y en el directorio "/var/named/var/run" se puede escribir por el usuario nombrado. Si lo necesita use el comando "chmod 777/var/named/var/run". [00:02:55.0] Ahora usted puede inciar el BIND usando la carcél. Digite "/user/local/sbin/named -u named -t /var/named"; la opción "-u" especifíca... [00:03:15.0] que usuario debe emplearse para inciar el dominio y la opción "-t" especifíca el directorio de la carcél. [00:03:21.0] Ahora su servidor debe ejecutarse y responder las consultas. Verifíquelo con el "NS LOOKUP". [00:03:28.0] Si todo funciona correctamente, edite sus archivos de arranque para reflejar el nuevo comando de arranque del BIND. [00:03:32.0] Ahora todo estará seguro si un atacante toma control de su servicio del BIND. [00:03:38.0]