   Guide pratique d'utilisation de BIND 8 en environnement restreint

  Version franaise du Chroot-BIND8 HOWTO

  Scott Wunsch

   <scott CHEZ wunsch POINT org>

   Adaptation franaise : Vincent Loupien

   Relecture de la version franaise : Isabelle Hurbain

   Prparation de la publication de la v.f. : Jean-Philippe Gurard

   Version : 1.4.fr.1.1

   21 aot 2005

   +----------------------------------------------------------------+
   | Historique des versions                                        |
   |----------------------------------------------------------------|
   | Version 1.4.fr.1.1        | 2005-08-21       | VL,IH,JPG       |
   |----------------------------------------------------------------|
   | Correction de l'url de la version franaise                    |
   |----------------------------------------------------------------|
   | Version 1.4.fr.1.0        | 2004-03-05       | VL,IH,JPG       |
   |----------------------------------------------------------------|
   | Premire traduction franaise                                  |
   |----------------------------------------------------------------|
   | Version 1.4               | 2001-07-01       | SW              |
   +----------------------------------------------------------------+

   Rsum

   Ce document dcrit l'installation du serveur de noms BIND 8 dans
   un environnement restreint en tant qu'utilisateur non privilgi.
   Ce qui permet de disposer d'une scurit amliore et de rduire
   au minimum les effets potentiels d'une compromission. Cette
   version du document couvre l'ancienne version 8 de BIND, toujours
   populaire ; il existe un autre document qui fournit le mme type
   d'informations, mais pour BIND 9.

   ------------------------------------------------------------------

   Table des matires

   1. Introduction

                1.1. Objet de ce document

                1.2. Pourquoi ?

                1.3. O ?

                1.4. Comment ?

                1.5. Mise en garde

   2. Prparation de l'environnement restreint

                2.1. Cration d'un utilisateur

                2.2. Arborescence de rpertoire

                2.3. Mise en place des donnes de BIND

                2.4. Fichiers pour le support du systme

                2.5. Journalisation des vnements

   3. Compilation de BIND

                3.1. Modifier les chemins

                3.2. Compiler

   4. Installer votre beau BIND tout neuf

                4.1. Installer les outils en dehors de
                l'environnement restreint

                4.2. Installer les binaires dans l'environnement
                restreint

                4.3. Mise en place du script d'init

                4.4. Changement de configuration

   5. La fin

                5.1. Lancement de BIND

                5.2. Voil !

   A. Annexes

                1. Mises  jour ultrieures de BIND

                2. Remerciements

                3. Politique de distribution de ce document

1. Introduction

   Ceci est le guide pratique de BIND 8 en environnement restreint ;
   allez voir Section 1.3,  O ?  pour le site principal, qui
   contient la dernire version de ce document. Nous supposons que
   vous savez dj configurer et utiliser BIND (le serveur de Noms de
   Domaines Internet de Berkeley). Si ce n'est pas le cas, je vous
   recommande de lire d'abord le Guide pratique du DNS (DNS HOWTO).
   Nous supposons galement que vous avez une connaissance suffisante
   de compilation et d'installation d'un logiciel sur votre systme
   de type Unix.

  1.1. Objet de ce document

   Ce document dcrit quelques prcautions de scurit
   supplmentaires que vous pouvez prendre quand vous installez BIND.
   Il explique comment configurer BIND de sorte qu'il rside dans un
   environnement restreint, ceci signifiant qu'il ne peut pas voir ou
   avoir accs aux fichiers  l'extrieur de sa propre arborescence.
   Nous le configurerons galement pour l'excuter en tant
   qu'utilisateur non-root.

   Le principe d'un environnement restreint est assez simple. Lorsque
   vous excutez BIND (ou tout autre processus) dans un environnement
   restreint (c'est--dire avec une racine diffrente du systme de
   fichier -- d'o le nom de la commande utilise  chroot ,
   c'est--dire, en anglais,  changer la racine ), le processus ne
   peut tout simplement pas voir les autres parties du systme de
   fichiers en dehors de son environnement. Par exemple, dans ce
   document, nous placerons BIND pour tre excut en environnement
   restreint dans le rpertoire /chroot/named. Cependant, pour BIND,
   le contenu de ce rpertoire apparatra comme tant /, la racine.
   Il ne pourra accder  rien d'autre en dehors de ce rpertoire.
   Vous avez probablement dj rencontr un environnement restreint
   auparavant, si vous avez dj fait un ftp vers un serveur de
   fichier public.

  1.2. Pourquoi ?

   Le principe lors de l'excution de BIND dans un environnement
   restreint est de limiter la quantit d'accs que n'importe quel
   individu malveillant pourrait gagner en exploitant une des
   vulnrabilits de BIND. C'est pour la mme raison que nous
   excutons BIND en tant qu'utilisateur non-root.

   Ceci devrait tre considr comme un supplment aux prcautions
   normales de scurit (excution de la dernire version,
   utilisation des listes de contrle d'accs, et ctera), et non pas
   comme une solution de remplacement de ces dernires.

   Si la scurit du DNS vous intresse, quelques autres produits
   pourraient galement vous intresser. Compiler BIND avec
   StackGuard [http://www.immunix.org/stackguard.html] peut tre une
   bonne ide pour assurer une plus grande protection. Son
   utilisation est simple ; elle quivaut  utiliser un gcc standard.
   Il existe aussi une alternative scurise  BIND, DNScache
   [http://cr.yp.to/dnscache.html], crit par Dan Berstein. Dan est
   l'auteur de qmail et DNScache semble en suivre la mme
   philosophie.

  1.3. O ?

   La dernire version franaise de ce document est toujours
   disponible sur le site du projet Traduc.org
   [http://www.traduc.org] :
   http://www.traduc.org/docs/howto/lecture/Chroot-BIND8-HOWTO.html
   [http://www.traduc.org/docs/howto/lecture/Chroot-BIND8-HOWTO.html].

   La dernire version originale de ce document est toujours
   disponible  partir du site web des Utilisateurs de Linux et de
   Logiciel Libre de Regina, Saskatchewan, Canada (LOSURS) 
   l'adresse http://www.losurs.org/docs/howto/Chroot-BIND8.html
   [http://www.losurs.org/docs/howto/Chroot-BIND8.html].

   Il existe maintenant une traduction japonaise de ce document,
   maintenue par <nakano CHEZ apm POINT seikei POINT ac POINT jp>.
   Elle est disponible  l'adresse
   http://www.linux.or.jp/JF/JFdocs/Chroot-BIND8-HOWTO.html
   [http://www.linux.or.jp/JF/JFdocs/Chroot-BIND8-HOWTO.html].

   BIND est disponible  l'adresse de l'Internet Software Consortium
   [http://www.isc.org/]  l'adresse http://www.isc.org/bind.html
   [http://www.isc.org/bind.html]. Au moment de la publication de ce
   document, la version courante de BIND 8 est 8.2.4. BIND 9.x est
   maintenant sorti, et il fonctionne depuis un petit moment. Vous
   pouvez envisager de mettre  jour vers cette version, la procdure
   d'environnement restreint y est vraiment beaucoup plus simple et
   propre. Si vous exploitez BIND 9, alors utilisez le  guide
   pratique d'utilisation de BIND en environnement restreint  qui
   doit tre disponible au mme emplacement que ce document.

   Gardez  l'esprit que des trous de scurit sont connus dans
   toutes les versions de BIND 8 infrieure  8.2.3, assurez-vous que
   vous excutez bien la dernire version !

  1.4. Comment ?

   J'ai crit ce document  partir de mon exprience du paramtrage
   de BIND dans un environnement restreint. Dans mon cas, j'avais
   dj un BIND en exploitation sous la forme d'un paquetage
   provenant de ma distribution Linux. Je vais supposer que beaucoup
   d'entre vous tes dans la mme situation, que vous allez juste
   rcuprer et modifier les fichiers de configuration provenant de
   votre installation actuelle de BIND, puis dsinstaller le
   paquetage avant d'installer le nouveau. Ne dsinstallez pas le
   paquetage tout de suite ; nous pourrions avoir besoin d'y
   rcuprer quelques fichiers.

   Si vous n'tes pas dans ce cas, vous devriez nanmoins tre
   capable de comprendre ce document. La seule diffrence est que,
   lorsque je copie un fichier existant, vous devrez d'abord le crer
   vous-mme. Le guide pratique du DNS peut tre utile pour cela.

  1.5. Mise en garde

   Cette procdure a fonctionn pour moi, sur mon systme. Vous
   pouvez avoir  la modifier. Ce n'est qu'une faon d'aborder la
   question ; il y a d'autres moyens d'arriver  la mme solution
   (cependant l'approche restera la mme). Il s'est juste trouv que
   ma premire tentative a fonctionn, et j'ai donc tout not.

    ce jour, mon exprience de BIND se limite  l'installation sur
   des serveurs Linux. Cependant, la plupart des instructions dans ce
   document doivent tre facilement applicables  d'autres saveurs
   d'UNIX, et j'essaierai d'indiquer les ventuelles diffrences dont
   j'ai la connaissance.

2.  Prparation de l'environnement restreint

  2.1. Cration d'un utilisateur

   Comme cela est mentionn dans l'introduction, il n'est pas
   conseill de faire fonctionner BIND en root. Ainsi, avant de
   commencer, crons un utilisateur spcifique pour BIND. Notez que
   vous ne devez jamais employer un utilisateur gnrique comme
   nobody pour cela. Ainsi, quelques distributions, comme SuSE et
   Mandrake Linux ont commenc  fournir un utilisateur spcifique
   (gnralement appel named) ; vous pouvez simplement adapter cet
   utilisateur  nos desseins, si vous le souhaitez.

   Ceci exige l'ajout d'une ligne comme celle qui suit dans
   /etc/passwd :

 named:x:200:200:Serveur de noms:/chroot/named:/bin/false

   Et une comme ceci dans /etc/group :

 named:x:200:

   Ceci cre un utilisateur et un groupe appels named pour BIND.
   Assurez-vous que les UID et les GID (les deux  200 dans cet
   exemple) sont uniques sur votre systme. L'interprteur de
   commande est mis  /bin/false parce que cet utilisateur n'aura
   jamais besoin de se connecter.

  2.2. Arborescence de rpertoire

   Nous devons maintenant mettre en place l'arborescence de
   rpertoire que nous allons utiliser pour l'environnement restreint
   dans lequel BIND s'excutera. Cela peut tre n'importe ou dans
   votre systme de fichiers ; celui qui est vraiment paranoaque
   pourra mme la mettre dans un volume spar. Je supposerai que
   vous emploierez /chroot/named. Commenons en crant l'arborescence
   de rpertoire suivante :

 /chroot
   +-- named
        +-- bin
        +-- dev
        +-- etc
        |    +-- namedb
        +-- lib
        +-- var
             +-- run

  2.3. Mise en place des donnes de BIND

   Si vous avez dj fait une installation conventionnelle de BIND et
   si vous l'utilisez, votre fichier named.conf et vos fichiers de
   zone existent dj. Ces fichiers doivent tre dplacs (ou copis
   pour plus de sret) dans l'environnement restreint, de sorte que
   BIND puisse les atteindre. named.conf ira dans /chroot/named/etc,
   et les fichiers de zone pourront aller dans
   /chroot/named/etc/namedb. Par exemple :

 # cp -p /etc/named.conf /chroot/named/etc/

 # cp -a /var/named/* /chroot/named/etc/namedb/

   BIND devra srement crire dans le rpertoire namedb, et
   probablement dans certains des fichiers contenus dans ce
   rpertoire. Par exemple, si votre serveur DNS est esclave pour une
   zone, il devra y mettre  jour les fichiers de cette zone. De
   plus, BIND peut gnrer des statistiques, ce qu'il fait dans ce
   rpertoire. Pour cette raison, vous devrez probablement faire de
   l'utilisateur named le propritaire de ce rpertoire et de son
   contenu :

 # chown -R named:named /chroot/named/etc/namedb

   BIND aura aussi besoin d'crire dans le rpertoire /var/run, pour
   y mettre ses fichiers pid et son socket ndc, donc permettons-lui
   de le faire :

 # chown named:named /chroot/named/var/run

  2.4. Fichiers pour le support du systme

   Une fois que BIND s'excute dans l'environnement restreint, il
   n'est pas capable du tout d'avoir accs aux fichiers en dehors de
   celui-ci. Cependant, il doit avoir accs  quelques fichiers
   clefs, comme la bibliothque C du systme. Les bibliothques
   exiges dpendront de votre saveur d'Unix. Pour la plupart des
   systmes Linux modernes, les commandes suivantes seront
   suffisantes pour mettre en place les bibliothques ncessaires :

 # cd /chroot/named/lib
 # cp -p /lib/libc-2.*.so .
 # ln -s libc-2.*.so libc.so.6
 # cp -p /lib/ld-2.*.so .
 # ln -s ld-2.*.so ld-linux.so.2

   Vous pouvez aussi simplement compiler des versions statiquement
   lies des binaires de BIND pour les placer dans votre
   environnement restreint. Vous devez aussi copier ldconfig dans
   l'environnement restreint et l'excuter pour crer un
   etc/ld.so.cache pour l'environnement restreint. Les commandes
   suivantes devraient le permettre :

 # cp /sbin/ldconfig /chroot/named/bin/
 # chroot /chroot/named /bin/ldconfig -v

   BIND a encore besoin d'un fichier systme dans son environnement
   restreint : le bon vieux /dev/null. De nouveau, la commande exacte
   ncessaire pour crer ce fichier spcial peut varier de systme en
   systme ; vrifiez votre script /dev/MAKEDEV pour tre sr.
   Quelques systmes peuvent galement exiger /dev/zero. Pour la
   plupart des systmes Linux, nous pouvons employer la commande
   suivante :

 # mknod /chroot/named/dev/null c 1 3

   Pour terminer, vous avez besoin de quelques fichiers
   supplmentaires dans le rpertoire /etc  l'intrieur de
   l'environnement restreint. En particulier, vous devez copier
   /etc/localtime (parfois nomm /usr/lib/zoneinfo/localtime sur
   certains systmes) de faon  ce que BIND enregistre les
   vnements avec un horodatage correct. Vous devez galement crer
   un petit fichier group contenant uniquement le groupe named. Les
   deux commandes suivantes se chargeront de ceci :

 # cp /etc/localtime /chroot/named/etc/

 # echo 'named:x:200:' > /chroot/named/etc/group

   Gardez  l'esprit que le GID, 200 dans cet exemple, doit
   correspondre  celui que vous avez dfini dans le vrai /etc/group
   dfini au dessus.

  2.5. Journalisation des vnements

   BIND a beau tre prisonnier de son environnement restreint, il ne
   peut pas graver son journal sur les murs de sa cellule. :-).
   Normalement, BIND crit les journaux grce  syslogd, le dmon de
   journalisation des vnements du systme. Cependant, ce type de
   journalisation est effectu en envoyant les entres d'vnements
   vers le socket spcial /dev/log. Puisqu'il est  l'extrieur de
   l'environnement restreint, BIND ne peut plus l'employer dsormais.
   Heureusement, il existe deux solutions pour contourner cela.

    2.5.1. La solution idale

   La solution idale de ce dilemme exige une version raisonnablement
   rcente de syslogd qui prend en charge le paramtre -a introduit
   par OpenBSD. Reportez-vous aux pages de manuel de votre syslogd(8)
   pour voir si vous avez une telle version.

   Si c'est la cas, la seule chose que vous ayez  faire est
   d'ajouter le paramtre  -a /chroot/named/dev/log   la ligne de
   commande lorsque vous lancez syslogd. Sur les systmes qui
   utilisent un init SysV complet (ce qui inclut la plupart des
   distributions Linux), vous pouvez faire cela dans le fichier
   /etc/rc.d/init.d/syslog. Par exemple, sur mon systme Linux Red
   Hat, j'ai chang la ligne

 daemon syslogd -m 0

   en

 daemon syslogd -m 0 -a /chroot/named/dev/log

   Les systmes Caldera OpenLinux utilisent un dmon de lancement
   appel ssd, qui lit la configuration dans
   /etc/sysconfig/daemons/syslog. Il vous suffit de modifier la ligne
   d'options pour que cela ressemble  ceci :

 OPTIONS_SYSLOGD="-m 0 -a /chroot/named/dev/log"

   De la mme faon sur les systmes SuSE, je me suis dit que le
   meilleur endroit pour ajouter ce paramtre est le fichier
   /etc/rc.config. Changer la ligne

 SYSLOGD_PARAMS=""

   en

 SYSLOGD_PARAMS="-a /chroot/named/dev/log"

   devrait faire l'affaire. Une fois que vous avez compris comment
   faire cette modification sur votre systme, il vous suffit de
   redmarrer syslogd, que cela soit en l'arrtant et en le relanant
   (avec les paramtres supplmentaires), ou en employant le script
   d'init SysV qui le fera pour vous :

 # /etc/rc.d/init.d/syslog stop
 # /etc/rc.d/init.d/syslog start

   Une fois redmarr, vous devez voir dans /chroot/named/dev un
    fichier  appel log qui ressemble  ceci :

 srw-rw-rw-   1 root     root            0 Mar 13 20:58 log

    2.5.2. L'autre solution

   Si vous avez un ancien syslogd, alors vous devez trouver une autre
   faon de faire vos journalisations. Il existe quelques programmes
   pour faire a, comme holelogd, qui est conu pour agir comme un
    proxy  en acceptant les entres d'vnements du BIND en
   environnement restreint pour les passer au vritable socket
   /dev/log.

   Vous pouvez aussi tout simplement configurer BIND pour journaliser
   les vnements dans un fichier au lieu de les passer  syslog.
   Voyez la documentation de BIND pour plus de dtails si vous
   choisissez d'utiliser cette mthode.

3. Compilation de BIND

   Vous devriez pouvoir trouver les sources de BIND en visitant
   http://www.isc.org/bind.html [http://www.isc.org/bind.html]. Vous
   avez besoins du paquet bind-src.tar.gz. Assurez-vous de bien
   rcuprer la dernire version !

  3.1. Modifier les chemins

   Les choses peuvent s'embrouiller un peu  partir de maintenant,
   parce que les diffrentes parties du paquetage BIND se rfrent
   aux mmes rpertoires par des noms diffrents (dpendant du fait
   qu'ils s'excutent ou non dans l'environnement restreint). Je vais
   essayer de ne pas trop vous embrouiller.

   Le rpertoire dont nous devons nous occuper en priorit est
   /var/run car son contenu est ncessaire  la fois pour le dmon
   named ( l'intrieur de l'environnement restreint) et pour
   l'utilitaire ndc ( l'extrieur). Nous allons commencer par
   paramtrer ce qu'il faut pour trouver ce rpertoire depuis le
   monde extrieur. Pour cela, nous devons modifier
   src/port/linux/Makefile.set (substituez par le rpertoire de votre
   architecture si vous ne fonctionnez pas sur Linux), et changez la
   ligne

 DESTRUN=/var/run

   en

 DESTRUN=/chroot/named/var/run

   Tant que vous tes l, vous pouvez changer l'autre chemin de
   destination /usr en /usr/local. Maintenant, tout devrait tre
   capable de trouver ce rpertoire... except le dmon named
   lui-mme, pour qui c'est toujours le vrai /var/run dans
   l'environnement restreint. Nous pouvons contourner ceci en faisant
   un petit changement dans les sources de named. Dans le fichier
   src/bin/named/named.h, trouvez la ligne

 #include "pathnames.h"

   et ajouter la ligne suivante immdiatement aprs

 #define _PATH_NDCSOCK    "/var/run/ndc"

   De cette faon, named ignorera notre dfinition de DESTRUN dans
   Makefile.set et emploiera l'emplacement correct (par rapport  sa
   perspective dans l'environnement restreint). Vous remarquerez
   quelques avertissements au sujet des redfinitions de
   _PATH_NDCSOCK quand vous faites la compilation ; vous pouvez les
   ignorer.

  3.2. Compiler

   Vous devriez maintenant tre capable de compiler normalement BIND,
   en suivante les instructions du fichier INSTALL.  cette tape,
   nous voulons seulement compiler BIND, sans l'installer. N'allez
   pas trop loin en suivant le fichier INSTALL. Globalement, il faut
   juste faire make clean, make depend et make.

4. Installer votre beau BIND tout neuf

   Je dois signaler que si vous avez une installation existante de
   BIND, par exemple en provenance d'un RPM, vous devrez probablement
   la dsinstaller avant d'installer la nouvelle. Sur un systme Red
   Hat, cela implique probablement de dsinstaller les paquetages
   bind et bind-utils, et peut-tre bind-devel et caching-nameserver,
   si vous les avez.

   Vous voudrez sans doute sauvegarder une copie du script d'init
   (par exemple /etc/rc.d/init.d/named), s'il y a en un, avant de
   faire ceci ; ce sera utile plus tard.

  4.1.  Installer les outils en dehors de l'environnement restreint

   C'est la partie facile :-). Il vous suffit d'excuter make install
   et laissez faire le tout pour vous. Vous pouvez vouloir faire un
   chmod 000 /usr/local/sbin/named par la suite, pour tre sr que
   vous n'excutez pas accidentellement une copie de BIND hors
   environnement restreint (il s'agit de /usr/sbin/named si vous ne
   lui avez pas dit d'aller dans /usr/local/sbin comme je l'ai
   suggr).

  4.2.  Installer les binaires dans l'environnement restreint

   Seuls deux parties du paquetage doivent s'excuter  l'intrieur
   de l'environnement restreint : le dmon principal named lui-mme,
   et named-xfer, qui est utilis pour les transferts de zone. Vous
   pouvez simplement les copier depuis l'arborescence source :

 # cp src/bin/named/named /chroot/named/bin

 # cp src/bin/named-xfer/named-xfer /chroot/named/bin

  4.3. Mise en place du script d'init

   Si vous avez un script d'init provenant de votre distribution, le
   mieux serait probablement de simplement le modifier pour excuter
   /chroot/named/bin/named, avec les paramtres appropris. Les
   paramtres sont... (roulement de tambour s'il vous plat...)

     o -u named, qui demande  BIND de s'excuter en tant
       qu'utilisateur named, plutt que root.

     o -g named, pour excuter BIND avec le groupe named galement,
       plutt que root ou wheel.

     o -t /chroot/named, qui demande  BIND de s'excuter dans
       l'environnement restreint que nous avons construit.

   Ce qui suit est le script d'init que j'utilise avec mon systme
   Red Hat 6.0. Comme vous pouvez voir, il est presque identique 
   celui livr par Red Hat. J'ai aussi modifi la commande ndc
   restart de faon  ce qu'elle redmarre le serveur correctement,
   et le garde  l'intrieur de l'environnement restreint. Vous
   pouvez probablement faire la mme chose dans votre script d'init,
   sans avoir  copier celui-ci.

 #!/bin/sh
 #
 # named           Le rle de ce script "shell" est de dmarrer et d'arrter
 #                 named (serveur DNS BIND)
 #
 # chkconfig: 345 55 45
 # description: named (BIND) est le serveur de nom de domain (DNS)
 # qui est utilis pour rsoudre les noms de domaines en adresses IP.
 # probe: true

 # Bibliothque basique de fonctions.
 . /etc/rc.d/init.d/functions

 # Configuration basique du rseau.
 . /etc/sysconfig/network

 # Vrifie que la gestion du rseau est assure
 [ ${NETWORKING} = "no" ] && exit 0

 [ -f /chroot/named/bin/named ] || exit 0

 [ -f /chroot/named/etc/named.conf ] || exit 0

 # En fonction de ce qui est appel
 case "$1" in
   start)
         # Dmarrer le dmon.
         echo -n "Dmarrage de named : "
         daemon /chroot/named/bin/named -u named -g named -t /chroot/named
         echo
         touch /var/lock/subsys/named
         ;;
   stop)
         # Arrter le dmon.
         echo -n "Arrt de named : "
         killproc named
         rm -f /var/lock/subsys/named
         echo
         ;;
   status)
         /usr/local/sbin/ndc status
         exit $?
         ;;
   restart)
         /usr/local/sbin/ndc -n /chroot/named/bin/named "restart -u named -g named -t /chroot/named"
         exit $?
         ;;
   reload)
         /usr/local/sbin/ndc reload
         exit $?
         ;;
   probe)
         # named sait comment redmarrer intelligemment ; nous ne voulons pas
         # que linuxconf nous propose de le redmarrer  chaque fois
         /usr/local/sbin/ndc reload >/dev/null 2>&1 || echo start
         exit 0
         ;;

   *)
         echo "Utilisation: named {start|stop|status|restart}"
         exit 1
 esac

 exit 0

   Sur les systmes Caldera OpenLinux, vous avez juste besoin de
   modifier les variables dfinies au dbut et le systme va
   s'occuper du reste pour vous :

 NAME=named
 DAEMON=/chroot/named/bin/$NAME
 OPTIONS="-t /chroot/named -u named -g named"

  4.4. Changement de configuration

   Vous devez aussi ajouter ou modifier quelques options dans votre
   named.conf pour avoir vos diffrents rpertoires en ordre. En
   particulier, vous devez ajouter (ou changer, si vous les avez
   dj) les directives suivantes dans la section options :

 directory "/etc/namedb";
 pid-file "/var/run/named.pid";
 named-xfer "/bin/named-xfer";

   Puisque ce fichier est lu par le dmon named, tous les chemins
   sont naturellement relatifs  l'environnement restreint.

   Quelques personnes ont aussi rapport devoir ajouter quelques
   lignes supplmentaires  leur named.conf pour obtenir un
   fonctionnement correct de ndc :

 controls {
     unix "/var/run/ndc" perm 0600 owner 0 group 0;
 };

5. La fin

  5.1. Lancement de BIND

   Tout devrait tre configur, et vous devriez tre prt  lancer
   votre nouveau BIND plus scuris. Si vous utilisez un script
   d'init du style SysV, vous pouvez simplement le lancer par :

 # /etc/rc.d/init.d/named start

   Assurez-vous d'avoir arrt toutes les anciennes versions de BIND
   qui pourraient encore fonctionner avant de faire cela.

   Si vous jetez un coup d'il  votre journal systme, vous devez
   trouver les messages d'initialisations que BIND crache quand il
   dmarre. (si ce n'est pas le cas ; il y a un problme avec votre
   configuration de journalisation que vous devez rsoudre.) Parmi
   ces messages, BIND devrait vous indiquer qu'il est pass avec
   succs dans l'environnement restreint (chroot et qu'il fonctionne
   en tant qu'utilisateur et groupe named. Si ce n'est pas le cas,
   vous avez un problme.

  5.2. Voil !

   Vous pouvez aller faire un petit somme maintenant ;-).

A.  Annexes

  1. Mises  jour ultrieures de BIND

   Ainsi, vous avez un BIND 8.2.2_P7 tout joliment plac dans son
   environnement restreint et assez peaufin  votre got... et vous
   entendez parler de cette rumeur dsagrable qu'il y a une faille
   root exploitable  distante dans cette version galement, et vous
   avez besoin de mettre  jour en 8.2.3 tout de suite. Devez-vous
   repasser entirement par ce long processus pour installer cette
   nouvelle version ?

   Non. En fait, vous avez juste besoin de la section Section 3,
    Compilation de BIND  et les deux premires parties de la
   section Section 4,  Installer votre beau BIND tout neuf 
   (installation des binaires en dehors et  l'intrieur de
   l'environnement restreint, respectivement).

   Le reste de ce guide pratique traite de la mise en place de
   l'environnement restreint et d'autres choses de ce genre-l, qui
   ne devrait pas devoir tre chang entre les versions du BIND. Vous
   devez juste dposer les nouveaux binaires par-dessus les anciens,
   et vous pouvez continuer. Mais n'oubliez pas d'arrter et de
   redmarrer BIND par la suite ou c'est l'ancienne version,
   vulnrable, qui continuera  tourner !

  2. Remerciements

   Je voudrais remercier les gens suivants pour leur aide dans la
   cration de ce guide pratique :

     o Lonny Selinger <lonny CHEZ abyss POINT za POINT org> pour
        l'valuation  de la premire version de ce guide pratique
       et pour s'tre assur que je n'avais rien oubli.

     o Chirik <chirik CHEZ CastleFur POINT COM>, Dwayne Litzenberger
       <dlitz CHEZ dlitz POINT net>, Phil Bambridge <phil POINT b
       CHEZ cableinet POINT co POINT uk>, Robert Cole <rcole CHEZ
       metrum-datatape POINT com>, Colin MacDonald <colinm CHEZ telus
       POINT net>, et d'autres qui ont mis le doigt sur des erreurs,
       des omissions, et prodigu d'autres conseils utiles pour faire
       que ce guide pratique soit meilleur encore.

     o Erik Wallin <erikw CHEZ sec POINT se> et Brian Cervenka <brian
       CHEZ zerobelow POINT org> pour avoir fourni de bonnes
       suggestions pour mieux scuriser encore l'environnement
       restreint.

   Et le dernier mais certainement pas le moindre, je voudrais
   remercier Nakano Takeo <nakano CHEZ apm POINT seikei POINT ac
   POINT jp> pour avoir traduit en japonais ce guide pratique de
   BIND 8 en environnement restreint. Vous pouvez trouver sa
   traduction  l'adresse
   http://www.linux.or.jp/JF/JFdocs/Chroot-BIND-HOWTO.html
   [http://www.linux.or.jp/JF/JFdocs/Chroot-BIND-HOWTO.html].

  3. Politique de distribution de ce document

   Copyright  Scott Wunsch, 2000-2001 pour la version originale.

   Copyright  2004-2005 Vincent Loupien, Isabelle Hurbain et
   Jean-Philippe Gurard pour la version franaise.

   Ce document peut tre distribu selon les termes de la licence LDP
   tels que dfinis  l'adresse
   http://metalab.unc.edu/LDP/COPYRIGHT.html
   [http://metalab.unc.edu/LDP/COPYRIGHT.html].

   Ce guide pratique est une documentation libre ; vous pouvez le
   redistribuer ou le modifier conformment  la licence de LDP. Il
   est distribu dans l'espoir qu'il sera utile, mais sans aucune
   garantie ; sans mme les garanties de commercialisation ou
   d'adaptation dans un but spcifique. Voir la licence de LDP pour
   plus de dtails.

