由于天緣最近使用的比較多的是Red Hat 操作系統(tǒng)，而且自己也是在一臺(tái)Red Hat 9 下面配置好Bind 9的，因此在下面的例子中就以Red Hat AS3為配置平臺(tái)進(jìn)行介紹。天緣所在單位的服務(wù)DNS是solaris操作系統(tǒng)，因此寫shell的時(shí)候，我爭(zhēng)取做到對(duì)Solaris也通用。由于各種因素，我沒(méi)能親自在Solaris上進(jìn)行測(cè)試。下面的安裝過(guò)程對(duì)Red Hat和其他unix操作系統(tǒng)都沒(méi)問(wèn)題，最后附上的自動(dòng)安裝的shell腳本我只在Red Hat下測(cè)試成功，對(duì)Solaris大概也基本上顧及到了，如果大家在實(shí)際使用那個(gè)腳本的時(shí)候發(fā)現(xiàn)在Solaris下使用存在問(wèn)題，請(qǐng)及時(shí)反饋到此文的留言中，以使我及時(shí)更正，方便其他讀者朋友。

　　首先，在開始以前，讓我們解釋一下標(biāo)題中出現(xiàn)的chroot 和 bind這兩個(gè)詞。 先是chroot，事實(shí)上，在很多英文文章中，稱它為”jail”（ 監(jiān)牢, 拘留所, 監(jiān)獄）。那么什么是”Jail”呢？簡(jiǎn)單來(lái)說(shuō)，就是把一個(gè)事物限制到某個(gè)范圍。大家都知道，有時(shí)候由于一個(gè)應(yīng)用程序的bug、漏洞等問(wèn)題，會(huì)導(dǎo)致該程序被攻擊者控制，取得相應(yīng)用戶的權(quán)限，進(jìn)而取得系統(tǒng)管理員級(jí)別的權(quán)限。例如Windows用戶對(duì)一些iis漏洞導(dǎo)致系統(tǒng)最高權(quán)限落入攻擊者之手的事情肯定時(shí)有耳聞。不管什么程序，都可能有bug/漏洞，為了防止這樣系統(tǒng)中某程序的漏洞導(dǎo)致系統(tǒng)最高權(quán)限被攻擊者竊取的事件發(fā)生，就需要限制該程序的權(quán)限。

　　所謂的限制，并不是不讓該程序運(yùn)行，而是對(duì)程序運(yùn)行時(shí)候可以使用的系統(tǒng)資源、用戶權(quán)限、所在目錄進(jìn)行嚴(yán)格控制。這樣，在該程序被他人非法控制后，能具有的權(quán)限也相當(dāng)有限，對(duì)系統(tǒng)也不會(huì)造成更大的危害。舉個(gè)形象的例子，架過(guò)ftp 服務(wù)器的朋友都知道，用戶憑借自己的用戶名/密碼可以進(jìn)入到自己的空間內(nèi)進(jìn)行上傳/下載/添加刪除目錄等操作權(quán)限，而對(duì)其他用戶的目錄和系統(tǒng)的其他目錄無(wú)法進(jìn)行任何操作（當(dāng)然，這些權(quán)限是管理者合法授權(quán)的），這個(gè)就可以看做是一個(gè)Jail，把ftp用戶限制在自己的目錄里。在計(jì)算機(jī)界術(shù)語(yǔ)中，我們把這種對(duì)程序的Jail，特稱為”chroot”。因此題目中的chroot bind,大家可以理解成“權(quán)限受嚴(yán)格限制的bind”。

　　值得一提的是，chroot的程序并不能說(shuō)是程序本身更安全了，它跟沒(méi)有chroot的程序比較，依然有著同樣多的bug/漏洞，依然會(huì)被攻擊者利用這些bug/漏洞進(jìn)行攻擊并得逞。那么我們辛苦chroot是為了什么呢？是為了把損失降低到最小。打個(gè)比方，購(gòu)買人生保險(xiǎn)并不能保你一生平安，但是可以在你遇到麻煩的時(shí)候讓損失少一些。我們的chroot程序也是同樣的道理，當(dāng)攻擊者取得了該程序的權(quán)限的時(shí)候，由于程序本身的權(quán)限被嚴(yán)格限制了，因此攻擊者無(wú)法造成更大的破壞，也無(wú)法奪取操作系統(tǒng)的最高權(quán)限。DNS 服務(wù)器由于是作域名解析之用，需要應(yīng)付來(lái)自各地的很多訪問(wèn)，且一般不限制來(lái)訪ip，因此安全隱患和被攻擊的可能性相當(dāng)大。做一個(gè)Dns服務(wù)器的資料網(wǎng)絡(luò)上到處可尋，而作為網(wǎng)絡(luò)管理員，我們需要的除了域名解析，還有“安全”（天緣在以前的網(wǎng)管筆記中提到過(guò)，“安全是一種意識(shí)”，在做任何事情的時(shí)候都提醒自己注意安全，是一個(gè)稱職的網(wǎng)絡(luò)管理者所應(yīng)該具備的）！

　　好了，接下來(lái)是第二個(gè)名詞“Bind”。Bind 是ISC 公司的軟件，而它也是目前世界上使用最普遍、最通用的DNS軟件，如果說(shuō)Apache和IIS是兩分Web Server天下的話，那么Bind 不折不扣是DNS Server事實(shí)上的標(biāo)準(zhǔn)了。

　　接下來(lái)開始步入正題，開始我們的Bind安裝之旅。chroot方式安裝軟件，事實(shí)上是把一個(gè)軟件整體限制到根目錄下的一個(gè)子目錄中。即該軟件只在此目錄內(nèi)具有權(quán)限，而一旦跳出該目錄就無(wú)任何權(quán)限了。在Bind 8的時(shí)候，想要把Bind的全部文件放到一個(gè)目錄下是一件很麻煩的事，而到了Bind 9開發(fā)公司ISC終于順應(yīng)民心，不光讓Bind 軟件能方便地安裝到同一目錄下進(jìn)行權(quán)限限制作業(yè)，而且連遠(yuǎn)程控制軟件也加上了，真是超值奉送（稍安勿燥，后面會(huì)詳細(xì)介紹）。

　　向耐心看到這里的朋友致敬，下面我們立即開始正題：