conntrackd
пакет идет с демоном, который регистрирует все соединения, прослеженные брандмауэром наряду с продолжительностью и объемом трафика, которым обмениваются оба пути. С другой стороны, Вы могли добавить, что брандмауэр постановляет, что регистрируют все новое установление соединений и разрушение или идут для более включенных решений, уже любят предложенный, или полноценные решения IDS (взгляд, например, securityonion).
Для входа запросов DNS и их ответов можно или установить собственный локальный сервер DNS и настроить его, чтобы зарегистрировать каждый запрос или установить снифферов то сканирование трафик DNS. Брат IDS сделал бы это в дополнение к отслеживанию каждого соединения, Запроса HTTP, сессий SMTP...
Прежде названный чтениями это - конфигурационный файл, это отбрасывает все кроме необходимых возможностей. Возможность, которая позволяет корню обходить все проверки разрешения файла, является CAP_FOWNER - видят возможности (7), если Вам любопытно. При проверке связывать исходного кода в bin/named/unix/os.c Вы найдете функции linux_initialprivs () linux_minprivs () и другие ответственный за это поведение.
Так, да, Ваш беспорядок понятен. uid 0 будет обычно иметь CAP_FOWNER, и таким образом процесс, действующий в качестве uid 0, смог бы работать беспрепятственный большей частью доступа к файлу и проверок разрешения. В этом случае свяжите, безвозвратно отбрасывает все полномочия, не явно необходимые для операции. По-моему, это - очень разумное и благоразумное действие для демона, чтобы сделать.
Для предотвращения проблемы рассмотрите изменение полномочий на том конфигурационном файле только к 0400, который позволяет uid=0 читать файл, не полагаясь на CAP_FOWNER.
Конечно, это будет сбои, так как Вы запретили полномочия чтения/записи/выполнения на /etc/bind/named.conf
. Попытайтесь использовать chmod ugo+r /etc/bind/named.conf && chown root /etc/bind/named.conf
и попробуйте еще раз.
Давайте посмотрим как именованные чтения файл.
sudo strace -f /usr/sbin/named -fg -d 10 2> named
Это покажет все файлы перекличек, которые назвали/связали, делает. Теперь обработка:
grep conf named read(5, "#\n# OpenSSL example configuratio"..., 4096) = 4096 write(2, "08-Feb-2014 14:01:42.372 built w"..., 39108-Feb-2014 14:01:42.372 built with '--prefix=/usr' '--mandir=/usr/share/man' '--infodir=/usr/share/info' '--sysconfdir=/etc/bind' '--localstatedir=/var' '--enable-threads' '--enable-largefile' '--with-libtool' '--enable-shared' '--enable-static' '--with-openssl=/usr' '--with-gssapi=/usr' '--with-gnu-ld' '--with-geoip=/usr' '--enable-ipv6' 'CFLAGS=-fno-strict-aliasing -DDIG_SIGCHASE -O2' [pid 25348] write(2, "08-Feb-2014 14:01:42.395 loading"..., 7508-Feb-2014 14:01:42.395 loading configuration from '/etc/bind/named.conf' [pid 25348] open("/etc/bind/named.conf", O_RDONLY|O_LARGEFILE) = -1 EACCES (Permission denied) [pid 25348] write(2, "08-Feb-2014 14:01:42.396 open: /"..., 7108-Feb-2014 14:01:42.396 open: /etc/bind/named.conf: permission denied [pid 25348] write(2, "08-Feb-2014 14:01:42.399 load_co"..., 6308-Feb-2014 14:01:42.399 load_configuration: permission denied [pid 25348] write(2, "08-Feb-2014 14:01:42.400 loading"..., 6608-Feb-2014 14:01:42.400 loading configuration: permission denied
Названные попытки сделать прослушивание как только для чтения и сбои с -1 EACCES
так как файл не имеет полномочий чтения. Это документируется в открытую () страницы руководства:
EACCES
Поисковое разрешение отклонено на компоненте префикса пути, или файл существует, и полномочия, указанные oflag, отклонены, или файл не существует и пишет, что разрешение отклонено для родительского каталога файла, который будет создан, или O_TRUNC указан, и разрешение записи отклонено.
Сводка: тот апач или любые другие работы процесса не подразумевают, что связывают/называют, будет.
BTW, выполнение связывает, поскольку корень является излишеством и не необходим.
---------- 1 root root 0 Feb 8 19:29 foo
-> open("foo", O_RDONLY) = 3
– Ricky Beam
09.02.2014, 02:31