最近我开始维护另一个公司网络,其中 BIND 已安装在专用 VM 中(表面上是出于安全考虑)。该公司使用 Debian 作为服务器系统。
我不得不说这个概念让我很感兴趣。除非您有 BIND 专用盒子(我没有),否则将其安装在 VM 主机(两个,因为它们位于主动/被动集群中)是了解 BIND 漏洞历史的一种安全风险。我知道它在 Debian (?) 中已被 chroot,但仍然如此。
你认为这是个好主意吗?优点缺点?鉴于当前的 BIND 版本,它真的需要还是基本上没有意义?
AskOverflow.Dev
我认为 BIND 9 的重写(大约 20 年前发布的初始 9.x 版本)在解决之前版本的安全历史方面取得了巨大进步。
并不是说它从那以后就完全一尘不染,但与其他流行的软件项目相比,我发现 9.x 的记录并没有真正脱颖而出。
(在我的书中,它只需要与其他任何东西相同的维护水平;将安装错误和安全修复程序,并且必须定期完成这项工作。)
即,我认为 BIND 本身并不一定会让您比其他任何事情都更想隔离它。
也就是说,我认为隔离服务、BIND 或其他方式并不是一个坏主意。
优点:
缺点:
这其实还不错。与 LAMP 堆栈或类似堆栈相比,您不仅可以对其进行大量保护,而且还可以简化扩展。以及确保您可以错开关闭的服务。
假设您有以下设置... BIND1 BIND2 Web 服务器和后端代码库 (PHP/NodeJS/etc) 前端 DB 后端
现在,当需要对这些中的任何一个进行维护/缩放时,您只需考虑非常有限的变量。与“传统”的 LAMP 堆栈相比。