    Guide pratique d'utilisation de BIND en environnement restreint

  Adaptation franaise du guide pratique Chroot-BIND HOWTO

  Scott Wunsch

   <scott CHEZ wunsch POINT org>

   Adaptation franaise : Vincent Loupien

   Relecture de la version franaise : Benot Rouits, Jean-Philippe
   Gurard

   Prparation de la publication de la v.f. : Jean-Philippe Gurard

   Version : 1.5.fr.1.0

   20 juillet 2005

   +----------------------------------------------------------------+
   | Historique des versions                                        |
   |----------------------------------------------------------------|
   | Version 1.5.fr.1.0       | 2005-07-30       | VL, BR, JPG      |
   |----------------------------------------------------------------|
   | Version franaise relue par Benot Rouits.                     |
   |----------------------------------------------------------------|
   | Version 1.5.fr.0.9       | 2004-06-28       | VL, JPG          |
   |----------------------------------------------------------------|
   | Premire version franaise (non relue).                        |
   |----------------------------------------------------------------|
   | Version 1.5              | 2001-12-01       | SW               |
   +----------------------------------------------------------------+

   Rsum

   Ce document dcrit l'installation du serveur de noms BIND 9 dans
   un environnement d'excution restreint en tant qu'utilisateur non
   root. Cette configuration offre une meilleure scurit et permet
   de limiter les effets potentiels d'une compromission. Ce document
   a t mis  jour pour la version 9 de BIND ; si vous utilisez
   toujours la version 8 de BIND, rfrez-vous plutt au  Guide
   pratique d'utilisation de BIND 8 en environnement restreint .

   ------------------------------------------------------------------

   Table des matires

   1. Introduction

                1.1. Objet de ce document

                1.2. Pourquoi ?

                1.3. O ?

                1.4. Comment ?

                1.5. Mise en garde

   2. Prparation de l'environnement restreint

                2.1. Cration d'un utilisateur

                2.2. Arborescence de rpertoires

                2.3. Mise en place des donnes de BIND

                2.4. Fichiers de support systme

                2.5. Journalisation des vnements

                2.6. Resserrer les permissions

   3. Compiler et installer votre beau BIND tout neuf

                3.1. Compiler

   4. Installer votre beau BIND tout neuf

                4.1. Installer les binaires

                4.2. Mise en place du script d'init

                4.3. Changement de configuration

   5. Fin

                5.1. Lancement de BIND

                5.2. Voil !

   A. Annexes

                1. Mises  jour ultrieures de BIND

                2. Remerciements

                3. Politique de distribution de ce document

1. Introduction

   Ce document est le guide pratique de BIND en environnement
   restreint ; reportez-vous  la Section 1.3,  O ?  pour trouver
   la version la plus rcente de ce document. Nous supposerons que
   vous savez dj configurer et utiliser BIND (le serveur de Noms de
   Domaines Internet de Berkeley). Si ce n'est pas le cas, je vous
   recommande de commencer par lire le guide pratique du DNS (DNS
   HOWTO). Nous supposerons galement que vous avez une connaissance
   suffisante de la compilation et de l'installation d'un logiciel
   sur un systme de type Unix.

  1.1. Objet de ce document

   Ce document prsente quelques prcautions de scurit
   supplmentaires applicables lors de l'installation de BIND. Il
   explique comment configurer BIND de sorte qu'il rside dans un
   environnement restreint, ce qui signifie qu'il ne peut voir ou
   accder aux fichiers  l'extrieur de sa propre arborescence. Nous
   le configurerons galement pour s'excuter en tant qu'utilisateur
   non root.

   Le principe d'un environnement restreint est assez simple. Lorsque
   vous excutez BIND (ou tout autre processus) dans un environnement
   restreint (c'est--dire en utilisant pour le systme de fichier
   une racine diffrente -- d'o le nom de la commande utilise
    chroot , c'est--dire, en anglais,  changer la racine ), le
   processus ne peut tout simplement pas voir les autres parties du
   systme de fichiers (situes hors de son environnement). Vous avez
   probablement dj rencontr un environnement restreint auparavant,
   si vous avez dj utilis un client ftp pour vous connecter  un
   serveur de fichier public.

   tant donn que le processus d'excution en environnement
   restreint est beaucoup plus simple avec BIND 9, j'ai commenc 
   dvelopper lgrement ce document, pour y inclure des astuces plus
   gnrales sur la manire de scuriser une installation BIND.
   Nanmoins, ce document n'est pas (et ne souhaite pas devenir) une
   rfrence complte pour la scurisation de BIND. Faire uniquement
   ce qui est dcrit dans ce document ne suffit pas  scuriser un
   serveur de nom !

  1.2. Pourquoi ?

   Le principe de l'excution de BIND en environnement restreint est
   de limiter le degr d'accs dont pourrait bnficier un individu
   malveillant en exploitant une des vulnrabilits de BIND. C'est
   pour la mme raison que nous excutons BIND en tant qu'utilisateur
   non root.

   Ceci devrait tre considr comme un supplment aux prcautions
   normales de scurit (excution de la dernire version,
   utilisation des listes de contrle d'accs, et ctera), et non
   comme une solution de remplacement  ces dernires.

   Si la scurit du DNS vous intresse, quelques autres produits
   pourraient galement vous intresser. Compiler BIND avec
   StackGuard [http://www.immunix.org/stackguard.html] peut tre une
   bonne ide pour assurer une plus grande protection. Son
   utilisation est simple ; elle quivaut  utiliser un gcc standard.
   Il existe aussi une alternative scurise  BIND, DNScache
   [http://cr.yp.to/dnscache.html], crit par Dan Bernstein. Dan est
   l'auteur de qmail et DNScache semble en suivre la mme
   philosophie.

  1.3. O ?

   La dernire version franaise de ce document est toujours
   disponible sur le site du projet Traduc.org
   [http://www.traduc.org] :
   http://www.traduc.org/docs/howto/lecture/Chroot-BIND8-HOWTO.html
   [http://www.traduc.org/docs/howto/lecture/Chroot-BIND8-HOWTO.html].

   La dernire version originale de ce document est toujours
   disponible  partir du site Web des Utilisateurs de Linux et de
   logiciels libres de Regina, Sask. :
   http://www.losurs.org/docs/howto/Chroot-BIND.html
   [http://www.losurs.org/docs/howto/Chroot-BIND.html].

   Il existe maintenant une traduction japonaise de ce document,
   maintenue par <nakano CHEZ apm POINT seikei POINT ac POINT jp>.
   Elle est disponible  l'adresse
   http://www.linux.or.jp/JF/JFdocs/Chroot-BIND-HOWTO.html
   [http://www.linux.or.jp/JF/JFdocs/Chroot-BIND-HOWTO.html]. BIND
   est disponible  l'adresse de l'Internet Software Consortium
   [http://www.isc.org/]  l'adresse http://www.isc.org/bind.html
   [http://www.isc.org/bind.html]. Au moment de la publication de ce
   document, la version courante de BIND 9 est la version 9.2.0. La
   version  9 de BIND est sortie depuis longtemps et est dj
   largement employe en production. Nanmoins, nombre de
   traditionalistes prfrent encore utiliser BIND 8. Si c'est votre
   cas, reportez-vous  mon  Guide pratique de l'utilisation de
   BIND 8 en environnement restreint  (disponible au mme endroit)
   qui vous expliquera comment l'excuter en environnement restreint.
   Cependant, soyez conscient que BIND 8 est plus difficilement
   excutable en environnement restreint. Gardez  l'esprit qu'il
   existe des trous de scurit connus sur toutes les versions de
   BIND. Assurez-vous que vous excutez bien la dernire version !

  1.4. Comment ?

   J'ai crit ce document en me basant sur mon exprience du
   paramtrage de BIND dans un environnement restreint. Dans mon cas,
   j'avais dj un BIND en exploitation sous la forme d'un paquet
   fourni par de ma distribution Linux. Je suppose que beaucoup
   d'entre-vous tes dans la mme situation, que vous allez juste
   rcuprer et modifier les fichiers de configuration provenant de
   votre installation actuelle de BIND, puis dsinstaller l'ancien
   paquet avant d'installer le nouveau. Ne dsinstallez pas le paquet
   tout de suite ; nous pourrions avoir besoin d'y rcuprer quelques
   fichiers.

   Si vous n'tes pas dans ce cas, vous devriez nanmoins tre
   capable de comprendre ce document. La seule diffrence est que,
   lorsque je parle de copier un fichier existant, vous devrez
   d'abord le crer vous-mme. Le guide pratique du DNS pourra vous
   tre utile pour cela.

  1.5. Mise en garde

   Cette procdure a fonctionn pour moi, sur mon systme. Vous
   pourriez avoir  la modifier. Ce n'est qu'une faon d'aborder la
   question ; il y a d'autres moyens d'arriver  la mme solution
   (cependant l'approche restera la mme). Il s'est juste trouv que
   ma premire tentative a fonctionn, et j'ai donc tout not.

    ce jour, mon exprience de BIND se limite  l'installation sur
   des serveurs Linux. Cependant, la plupart des instructions de ce
   document devraient tre facilement applicables  d'autres saveurs
   d'UNIX et j'essaierai d'indiquer les ventuelles diffrences dont
   j'aurais connaissance. J'ai galement reu des suggestions de
   personnes utilisant d'autres distributions et d'autres
   plates-formes, et j'ai essay d'incorporer leurs commentaires
   lorsque cela tait possible.

   Si vous utilisez Linux, vous devez tre sr d'utiliser un
   noyau 2.4 avant d'essayer ceci. Le paramtre -u (excution par un
   utilisateur non root) requiert cette version du noyau.

2. Prparation de l'environnement restreint

  2.1. Cration d'un utilisateur

   Comme cela est mentionn dans l'introduction, il n'est pas
   conseill de faire fonctionner BIND sous le compte root. Ainsi,
   avant de commencer, crons un utilisateur spcifique pour BIND.
   Notez que vous ne devez jamais employer un utilisateur gnrique
   comme nobody pour cela. Ainsi, quelques distributions, comme SuSE
   et Mandrake Linux ont commenc  fournir un utilisateur spcifique
   (gnralement appel named) ; si vous le souhaitez, vous pouvez
   tout simplement adapter cet utilisateur  nos desseins. Ceci exige
   l'ajout d'une ligne comme celle qui suit dans /etc/passwd :

 named:x:200:200:Serveur de noms:/chroot/named:/bin/false

   Et d'une ligne de ce type dans /etc/group :

 named:x:200:

   Ceci cre pour BIND un utilisateur et un groupe appels named.
   Assurez-vous que l'UID et le GID (tous deux valant 200 dans cet
   exemple) sont uniques sur votre systme. L'interprteur de
   commande est mis  /bin/false car cet utilisateur n'aura jamais
   besoin de se connecter.

  2.2. Arborescence de rpertoires

   Nous devons maintenant mettre en place l'arborescence de
   rpertoires que nous allons utiliser pour l'environnement
   restreint d'excution de BIND. Elle peut se situer n'importe o
   dans votre systme de fichiers ; si vous tes vraiment
   paranoaque, vous pourrez mme la placer dans un volume spar. Je
   supposerai que vous allez employer /chroot/named. Commenons en
   crant l'arborescence de rpertoires suivante :

 /chroot
   +-- named
        +-- dev
        +-- etc
        |    +-- namedb
        |         +-- slave
        +-- var
             +-- run

   Si vous utilisez la commande GNU mkdir (tel que prsente sur les
   systmes Linux), vous pourrez crer l'arborescence de rpertoires
   ainsi :

 # mkdir -p /chroot/named
 # cd /chroot/named
 # mkdir -p dev etc/namedb/slave var/run

  2.3. Mise en place des donnes de BIND

   Si vous avez dj fait une installation conventionnelle de BIND et
   si vous l'utilisez, votre fichier named.conf et vos fichiers de
   zones existent dj. Ces fichiers doivent tre dplacs (ou copis
   pour plus de sret) dans l'environnement restreint, de sorte que
   BIND puisse les atteindre. named.conf ira dans /chroot/named/etc,
   et les fichiers de zone pourront aller dans
   /chroot/named/etc/namedb. Par exemple :

 # cp -p /etc/named.conf /chroot/named/etc/
 # cp -a /var/named/* /chroot/named/etc/namedb/

   BIND a normalement besoin d'crire dans le rpertoire namedb, mais
   pour renforcer la scurit, nous ne l'autoriserons pas  le faire.
   Si votre serveur de nom est esclave pour une zone quelconque, il
   aura besoin de mettre  jour ces fichiers de zones, ce qui veut
   dire nous devrons les enregistrer dans un rpertoire spar,
   auquel BIND aura accs.

 # chown -R named:named /chroot/named/etc/namedb/slave

   Gardez  l'esprit que vous devrez dplacer toutes vos zones
   esclaves dans ce rpertoire et que vous devez mettre  jour votre
   named.conf en consquence.

   BIND aura aussi besoin d'crire dans le rpertoire /var/run, pour
   y mettre ses fichiers pid et ses fichiers de statistiques, donc
   permettons-lui de le faire :

 # chown named:named /chroot/named/var/run

  2.4. Fichiers de support systme

   Lorsque BIND s'excute dans l'environnement restreint, il ne peut
   plus du tout accder aux fichiers situs hors de celui-ci.
   Cependant, il a besoin d'accder  quelques fichiers clefs, bien
   que leur nombre soit bien moindre que ce dont BIND 8 avait besoin.

   Un fichier dont BIND aura besoin  l'intrieur de sa prison est le
   bon vieux /dev/null. Notez que la commande exacte ncessaire pour
   crer ce fichier spcial peut varier de systme  systme ;
   vrifiez le script /dev/MAKEDEV pour vous en assurer. Quelques
   systmes peuvent galement exiger /dev/zero, que nous pourrons
   crer de la mme faon. Il a t mentionn que les version
   prliminaires de BIND 9.2.0 ont maintenant galement besoin de
   /dev/random. Pour la plupart des systmes Linux, nous pourrons
   employer les commandes suivantes :

 # mknod /chroot/named/dev/null c 1 3
 # mknod /chroot/named/dev/random c 1 8
 # chmod 666 /chroot/named/dev/{null,random}

   Pour FreeBSD 4.3, ce sera :

 # mknod /chroot/named/dev/null c 2 2
 # mknod /chroot/named/dev/random c 2 3
 # chmod 666 /chroot/named/dev/{null,random}

   Vous aurez besoin de disposer d'un autre fichier dans le
   rpertoire /etc de l'environnement restreint. Vous devrez copier
   /etc/localtime (nomm /usr/lib/zoneinfo/localtime sur certains
   systmes), afin que BIND puisse enregistrer les vnements avec un
   horodatage correct. La commande suivante s'en chargera :

 # cp /etc/localtime /chroot/named/etc/

  2.5. Journalisation des vnements

   BIND a beau tre prisonnier de son environnement restreint,
   contrairement  un prisonnier ordinaire, il ne peut crire son
   journal sur les murs de sa cellule :-) Normalement, BIND
   enregistre un journal des vnements grce  syslogd, le dmon de
   journalisation systme. Cependant, ce type de journalisation est
   effectu en envoyant les enregistrements d'vnements vers le
   connecteur (socket) spcial /dev/log. Puisqu'elle se trouve
   dsormais  l'extrieur de l'environnement restreint, BIND ne peut
   plus l'employer. Heureusement, il existe quelques solutions pour
   contourner le problme.

    2.5.1. La solution idale

   La solution idale de ce dilemme exige une version raisonnablement
   rcente de syslogd qui prenne en charge le paramtre -a introduit
   par OpenBSD. Reportez-vous  la page de manuel de votre syslogd(8)
   pour vrifier si elle offre cette option. Si c'est la cas, la
   seule chose que vous ayez  faire est d'ajouter le paramtre  -a
   /chroot/named/dev/log   la ligne de commande utilise pour
   lancer syslogd. Sur les systmes qui utilisent un init SysV
   complet (ce qui inclut la plupart des distributions Linux), vous
   pouvez faire cela en modifiant le fichier /etc/rc.d/init.d/syslog.
   Par exemple, sur mon systme Linux Red Hat, j'ai chang la ligne

 daemon syslogd -m 0

   en

 daemon syslogd -m 0 -a /chroot/named/dev/log

   Il est intressant de noter qu' partir de la Red Hat 7.2, Red Hat
   a apparemment rendu ce processus plus facile. Il y a maintenant un
   fichier appel /etc/sysconfig/syslog dans lequel on peut dfinit
   des paramtres supplmentaires pour syslogd. Les systmes
   OpenLinux de Caldera utilisent un dmon de lancement appel ssd,
   qui lit la configuration depuis /etc/sysconfig/daemons/syslog. Il
   vous suffit de modifier la ligne d'options pour qu'elle ressemble
    ceci :

 OPTIONS_SYSLOGD="-m 0 -a /chroot/named/dev/log"

   De la mme faon sur les systmes SuSE, il m'a t indiqu que le
   meilleur endroit pour ajouter ce paramtre est le fichier
   /etc/rc.config. Changez la ligne

 SYSLOGD_paraMS=""

   en

 SYSLOGD_paraMS="-a /chroot/named/dev/log"

   devrait faire l'affaire. Enfin, le dernier mais non le moindre,
   pour FreeBSD 4.3, il suffit apparemment de modifier le fichier
   rc.conf et d'y ajouter :

 syslogd_flags="-s -l /chroot/named/dev/log"

   Le -s est l pour des raisons de scurit, et fait partie des
   paramtres par dfaut. Le -l doit tre suivi d'un chemin local,
   dans lequel on souhaite placer une autre interface de
   journalisation. Une fois que vous avez compris comment faire cette
   modification sur votre systme, il vous suffira de redmarrer
   syslogd, que cela soit en le tuant (avec un kill) et en le
   relanant (avec les paramtres supplmentaires) ou en employant le
   script d'init SysV qui le fera pour vous :

 # /etc/rc.d/init.d/syslog stop
 # /etc/rc.d/init.d/syslog start

   Une fois redmarr, vous devriez voir dans /chroot/named/dev une
   entre appele log qui ressemble  ceci :

 srw-rw-rw-   1 root     root            0 Mar 13 20:58 log

    2.5.2. L'autre solution

   Si vous avez un ancien syslogd, vous devrez trouver une autre
   faon d'crire dans le journal des vnements. Il existe quelques
   programmes pour cela, comme holelogd, qui est conu pour agir
   comme un serveur mandataire en acceptant les entres d'vnements
   du BIND en environnement restreint pour les passer au vritable
   connecteur /dev/log. Vous pouvez aussi tout simplement configurer
   BIND pour journaliser les vnements dans un fichier au lieu de
   les passer  syslog. Reportez-vous  la documentation de BIND pour
   plus d'informations si vous choisissez d'utiliser cette mthode.

  2.6. Resserrer les permissions

   Tout d'abord, n'hsitez  restreindre  l'utilisateur root l'accs
    la totalit du rpertoire /chroot. Bien sur, tout le monde ne
   voudra pas faire cela, particulirement si cela indisposait
   d'autres logiciels installs dans la mme arborescence.

 # chown root /chroot
 # chmod 700 /chroot

   Vous pouvez aussi sans danger restreindre l'accs de /chroot/named
    l'utilisateur named.

 # chown named:named /chroot/named
 # chmod 700 /chroot/named

   Pour renforcer un peu plus la scurit, sur les systmes Linux
   utilisant le systme de fichier ext2, nous pouvons rendre certains
   fichiers et rpertoires immuables, en utilisant l'utilitaire
   chattr.

 # cd /chroot/named
 # chattr +i etc etc/localtime var

   De mme, sur FreeBSD 4.3, chflags est l'outil  examiner pour
   rendre certains fichiers immuables.  titre d'exemple, ce qui suit
   devrait rendre immuable le contenu du rpertoire
   /chroot/named/etc :

 # chflags schg /chroot/named/etc/*(*).

   Il serait pratique de pouvoir faire la mme chose sur le
   rpertoire dev, mais malheureusement cela empcherait syslogd de
   crer son connecteur dev/log. Vous pourrez aussi choisir de
   positionner le bit immuable sur d'autres fichiers de votre prison,
   comme par exemple vos fichiers de zone primaire,  condition
   qu'ils ne soient pas supposs changer.

3. Compiler et installer votre beau BIND tout neuf

  3.1. Compiler

   Compiler BIND 9 pour l'utiliser dans un environnement restreint
   est une exprience plus plaisante que cela ne l'tait avec BIND 8.
   En fait, vous n'avez rien de spcial  faire ; le classique
   ./configure && make suffira. Gardez  l'esprit que, sur des
   systmes Linux, si vous voulez activer la compatibilit IPv6 de
   BIND (--enable-ipv6), vous devrez disposer de versions
   correspondantes du noyau et de la bibliothque glibc. Si vous avez
   un noyau 2.2, vous aurez besoin de la glibc 2.1. Si vous avez un
   noyau 2.4, vous avez besoin de la glibc 2.2. BIND est plutt
   pointilleux  ce propos.

4. Installer votre beau BIND tout neuf

   Vous devez aussi savoir que, si vous avez dj install BIND, par
   exemple en utilisant un paquet RPM, vous devrez probablement le
   dsinstaller avant d'installer votre nouvelle version. Sur un
   systme Red Hat, cela implique probablement de dsinstaller les
   paquets bind et bind-utils, et peut-tre aussi bind-devel et
   caching-nameserver, si vous les avez.

   Vous devriez sauvegarder une copie du script d'init (en gnral
   /etc/rc.d/init.d/named), s'il y a en un, avant la
   dsinstallation ; ce sera utile plus tard.

   Si vous ralisez une mise  jour depuis une ancienne version de
   BIND, tel que BIND 8, vous devriez lire le document de migration
   contenu dans le fichier doc/misc/migration du paquet source de
   BIND. Ce document ne traite pas du tout de la migration ; il part
   simplement de l'hypothse que vous remplacez une installation
   existante et fonctionnelle de BIND 9.

  4.1. Installer les binaires

   C'est la partie facile :-) Lancez juste make install et laissez-le
   tout faire pour vous. Et voil, c'est aussi simple que cela.

  4.2. Mise en place du script d'init

   Si vous avez un script d'init provenant de votre distribution, le
   mieux serait probablement de simplement le modifier pour excuter
   le nouveau binaire, avec les paramtres appropris. Les paramtres
   sont... (roulement de tambour s'il vous plat...)

     o -u named, pour excuter BIND avec l'utilisateur named , plutt
       que root.

     o -t /chroot/named, pour que BIND s'excute dans l'environnement
       restreint que nous avons mis en place.

     o -c /etc/named.conf, pour que BIND trouve sa configuration 
       l'intrieur de la prison.

   Ce qui suit est le script d'init que j'utilise avec mon systme
   Red Hat 6.0. Comme vous pouvez voir, il est presque identique 
   celui livr par Red Hat. Je n'ai pas encore essay la commande
   rndc, mais je ne vois pas pour quelle raison elle ne
   fonctionnerait pas.

 #!/bin/sh
 #
 # named   Le rle de ce script est de dmarrer et d'arrter
 #         named (serveur DNS BIND).
 #
 # chkconfig: 345 55 45
 # description: named (BIND) est le serveur de nom (DNS) \
 # utilis pour rsoudre les noms de domaines en adresses IP.
 # probe: true

 # Lecture de la bibliothque de fonctions.
 . /etc/rc.d/init.d/functions

 # Lecture des paramtres rseau.
 . /etc/sysconfig/network

 # Vrifie que le rseau fonctionne.
 [ ${NETWORKING} = "no" ] && exit 0

 [ -f /usr/local/sbin/named ] || exit 0

 [ -f /chroot/named/etc/named.conf ] || exit 0

 # En fonction de ce qui est appel.
 case "$1" in
   start)
         # Dmarrer le dmon.
         echo -n "Dmarrage de named : "
         daemon /usr/local/sbin/named -u named -t /chroot/named \
                                      -c /etc/named.conf
         echo
         touch /var/lock/subsys/named
         ;;
   stop)
         # Arrter le dmon.
         echo -n "Arrt de named : "
         killproc named
         rm -f /var/lock/subsys/named
         echo
         ;;
   status)
         status named
         exit $?
         ;;
   restart)
         $0 stop
         $0 start
         exit $?
         ;;
   reload)
         /usr/local/sbin/rndc reload
         exit $?
         ;;
   probe)
         # named sait comment redmarrer intelligemment ;
         # nous ne voulons pas que linuxconf nous propose
         # de le redmarrer  chaque fois
         /usr/local/sbin/rndc reload >/dev/null 2>&1 || echo start
         exit 0
         ;;

   *)
         echo "Utilisation: named {start|stop|status|restart|reload}"
         exit 1
 esac

 exit 0

   Comme pour syslogd,  partir de la version 7.2 de Red Hat, ce
   processus est devenu encore plus simple. Il existe maintenant un
   fichier nomm /etc/sysconfig/named dans lequel il est possible
   d'ajouter des paramtres pour syslogd. Cependant, dans la
   distribution Red Hat 7.2, la version par dfaut de
   /etc/rc.d/init.d/named, vrifie l'existence de /etc/named.conf
   avant de lancer BIND. Vous devrez corriger ce chemin.

   Sur les systmes OpenLinux de Caldera, vous avez juste besoin de
   modifier les variables dfinies au dbut et le script s'occupera
   apparemment du reste pour vous :

 NAME=named
 DAEMON=/chroot/named/bin/$NAME
 OPTIONS="-t /chroot/named -u named -g named"

   Et sous FreeBSD 4.3, vous pouvez diter le fichier rc.conf et y
   ajouter les lignes suivantes :

 named_enable="YES"
 named_program="chroot/named/bin/named"
 named_flags="-u named -t /chroot/named -c /etc/namedb/named.conf"

  4.3. Changement de configuration

   Vous devrez aussi ajouter ou modifier quelques options dans votre
   named.conf pour que vos divers rpertoires soient correctement
   dfinis. En particulier, vous devrez ajouter (ou changer, si vous
   les avez dj) les directives suivantes dans la section options :

 directory "/etc/namedb";
 pid-file "/var/run/named.pid";
 statistics-file "/var/run/named.stats";

   Ce fichier tant lu par le dmon named, tous les chemins sont
   relatifs  l'environnement restreint. Au jour de la rdaction de
   ce document, BIND 9 ne permettait pas d'utiliser nombre des
   fichiers de statistiques et de vidage qu'il tait possible
   d'utiliser avec la version prcdente. Prsumons que les
   prochaines le pourront ; si vous excutez de telles
   configurations, vous devrez ajouter des entres additionnelles
   pour forcer BIND  galement crire ces fichiers dans le
   rpertoire /var/run.

5. Fin

  5.1. Lancement de BIND

   Tout devrait tre configur et vous devriez tre prt  lancer
   BIND, dans cette nouvelle version plus sre. Si vous utilisez un
   script d'init de type Systme V, vous pourrez le lancer tout
   simplement en utilisant la commande :

 # /etc/rc.d/init.d/named start

   Avant de faire cela, assurez-vous d'avoir arrt toutes les
   anciennes versions de BIND qui pourraient encore fonctionner.

  5.2. Voil !

   Vous pouvez aller faire un petit somme maintenant ;-)

A.  Annexes

  1. Mises  jour ultrieures de BIND

   Vous avez maintenant un BIND 9.1.2 tout joliment cas dans son
   environnement restreint et assez peaufin  votre got... et vous
   entendez parler de cette dsagrable rumeur disant que BIND 9.1.3
   est finalement sorti. Vous vous sentez donc oblig de l'essayer
   sans attendre. Devrez-vous repasser entirement par ce long
   processus pour installer cette nouvelle version ?

   Pas du tout. En fait, vous aurez juste besoin de compiler le
   nouveau BIND et l'installer par dessus l'ancien. N'oubliez pas
   d'arrter l'ancienne version et de redmarrer BIND, ou c'est
   l'ancienne version qui continuera  tourner !

  2. Remerciements

   Je voudrais remercier les personnes suivantes pour leur aide dans
   la cration de ce guide pratique :

     o Lonny Selinger <lonny CHEZ abyss POINT za POINT org> pour
       l'valuation de la premire version de ce guide pratique et
       pour s'tre assur que je n'avais rien oubli.

     o Chirik <chirik CHEZ CastleFur POINT COM>, Dwayne Litzenberger
       <dlitz CHEZ dlitz POINT net>, Phil Bambridge <phil.b CHEZ
       cableinet POINT co POINT uk>, Robert Cole <rcole CHEZ metrum
       TIRET datatape POINT com>, Colin MacDonald <colinm CHEZ telus
       POINT net>, et tous ceux qui ont mis le doigt sur des erreurs,
       des omissions et prodigu d'autres conseils utiles pour rendre
       encore meilleur ce guide pratique.

     o Erik Wallin <erikw CHEZ sec POINT se> et Brian Cervenka <brian
       CHEZ zerobelow POINT org> pour avoir fourni de bonnes
       suggestions pour rendre encore plus sr l'environnement
       restreint.

     o Robert Dalton <support CHEZ accesswest POINT com> pour avoir
       suggr une paire d'exemples supplmentaires et m'avoir
       indiqu que les BIND 9.2.0 avaient besoin de /dev/random.

     o Eric McCormick <hostmaster CHEZ cybertime POINT net> pour les
       informations sur FreeBSD 4.3.

     o Tan Zheng Da <tzd CHEZ pobox POINT com> pour les informations
       sur les changements survenus dans la version 7.2 de la
       distribution Red Hat, qui ont rendu le processus un peu plus
       facile.

   Et le dernier mais certainement pas le moindre, je voudrais
   remercier Nakano Takeo <nakano CHEZ apm POINT seikei POINT ac
   POINT jp> pour avoir traduit en japonais ce guide pratique de BIND
   en environnement restreint. Vous pouvez trouver sa traduction 
   l'adresse http://www.linux.or.jp/JF/JFdocs/Chroot-BIND-HOWTO.html
   [http://www.linux.or.jp/JF/JFdocs/Chroot-BIND-HOWTO.html].

  3. Politique de distribution de ce document

   Copyright  Scott Wunsch, 2000-2001 pour la version originale.

   Copyright  2004-2005 Vincent Loupien, Benot Rouits et
   Jean-Philippe Gurard pour la version franaise.

   Ce document peut tre distribu selon les termes de la licence LDP
   tels que dfinis  l'adresse
   http://metalab.unc.edu/LDP/COPYRIGHT.html
   [http://metalab.unc.edu/LDP/COPYRIGHT.html].

   Ce guide pratique est une documentation libre ; vous pouvez le
   redistribuer ou le modifier conformment  la licence de LDP. Il
   est distribu dans l'espoir qu'il sera utile, mais sans aucune
   garantie ; sans mme les garanties de commercialisation ou
   d'adaptation dans un but spcifique. Voir la licence de LDP pour
   plus de dtails.

