然后向新的文件系統(tǒng)中復(fù)制相應(yīng)的文件、建立相關(guān)的設(shè)備 。如果是動(dòng)態(tài)連接的程序，還需要考慮復(fù)制/usr/lib下的動(dòng)態(tài)連接庫和相關(guān)的ld程序 。可以通過ldd命令查詢程序需要的動(dòng)態(tài)連接庫 。然而增加文件就降低了系統(tǒng)安全性，因此一般應(yīng)該使用靜態(tài)連接的程序，新的環(huán)境中應(yīng)具備盡可能少的文件 。
設(shè)置環(huán)境，包括增加程序執(zhí)行的用戶和組，目錄結(jié)構(gòu)的屬主和權(quán)限設(shè)置等等 。可以為named添加用戶named和組named 。
手工執(zhí)行chroot的named，執(zhí)行命令為”/chroot/named -unamed -g named -t /chroot/named”，-t參數(shù)指出named應(yīng)該使用/chroot/named作根目錄執(zhí)行chroot操作，一切正確之后，再更改啟動(dòng)腳本 。
更改啟動(dòng)腳本，屏蔽原有的named的執(zhí)行權(quán)限，使得新named成為系統(tǒng)的網(wǎng)絡(luò)服務(wù)程序，并設(shè)置正確的啟動(dòng)參數(shù) 。
用戶相關(guān)的安全問題
系統(tǒng)管理員有時(shí)也不希望用戶占用太多的系統(tǒng)資源，在有些Unix系統(tǒng)中入侵者能通過普通帳戶，啟動(dòng)大量的進(jìn)程或產(chǎn)生大量的文件，從而使系統(tǒng)死掉或不能提供正常操作，而FreeBSD下則不必有此擔(dān)憂，因?yàn)榭梢酝ㄟ^login.conf和用戶的口令數(shù)據(jù)來設(shè)置用戶類別，限制用戶對系統(tǒng)資源的占用，同樣占用的硬盤資源可以通過quota來限制 。
at和cron機(jī)制能幫助用戶自動(dòng)啟動(dòng)應(yīng)用程序和服務(wù)進(jìn)程，如果必要，可以屏蔽用戶使用at和cron的權(quán)限 。也要注意檢查root用戶的at和cron設(shè)置，這里也是入侵者可能用于設(shè)置后門程序的一個(gè)位置 。
系統(tǒng)中，除了服務(wù)進(jìn)程可能具備root身份之外，再就是具備SetUID身份的程序能進(jìn)入root身份 。由于SetUID和SetGID與系統(tǒng)安全息息相關(guān)，因此系統(tǒng)中也應(yīng)該具備盡量少的SetUID和SetGID程序 。要不定期使用find命令查找，或者檢查/var/log下的日志文件，了解系統(tǒng)中這些程序文件的更改情況 。
實(shí)際上很多SetUID程序不會(huì)被使用的，例如很少有人使用uucp，如果使用的是局域網(wǎng)也很少使用ppp和pppd，因此對于這些不常用到的SetUID程序，應(yīng)該取消其SetUID位，甚至取消執(zhí)行屬性，以避免用戶來執(zhí)行它 。
為了避免不必要的SetUID程序，一個(gè)辦法是可以在安裝一個(gè)文件系統(tǒng)時(shí)就設(shè)定不承認(rèn)這個(gè)文件系統(tǒng)中的SetUID程序 。安裝文件系統(tǒng)時(shí)可以使用nosuid選項(xiàng)，就能讓文件屬性中的SetUID和SetGID位失效 。因此為了利用這個(gè)優(yōu)點(diǎn)，可以創(chuàng)建使用使用nosuid位的/home文件系統(tǒng)，讓所有的用戶使用，而其他可以存在SetUID程序的文件系統(tǒng)，如/usr，則不允許用戶寫入 。同樣也要?jiǎng)?chuàng)建一個(gè)/var/tmp文件系統(tǒng)，將系統(tǒng)的/tmp目錄指向這個(gè)目錄，/var/tmp也應(yīng)該是nosuid的，以避免用戶在/tmp目錄中保存SetUID程序 。其他的文件系統(tǒng)，如使用NFS裝載的文件系統(tǒng)，也要使用nosuid安裝選項(xiàng) 。
劃分多個(gè)磁盤分區(qū)、安裝到不同目錄上也能防止入侵者企圖填滿磁盤空間的阻塞攻擊 。同樣，對于用戶使用的磁盤文件系統(tǒng)，應(yīng)該使用qutoa來限制用戶個(gè)人占用的磁盤空間 。
這個(gè)nosuid安全選項(xiàng)應(yīng)該加入到/etc/fstab文件中，一使得每次都能生效 。需要注意的是nosuid安裝選項(xiàng)不能影響一些解釋性語言程序的這個(gè)屬性，如perl程序，當(dāng)解釋性語言程序具備SetUID屬性，語言解釋器為其設(shè)置身份，由于真正的setuid()調(diào)用是由語言解釋器執(zhí)行的，因此如果語言解釋器具備root權(quán)限（具備SetUID屬性），那么就能使解釋器將具備SetUID位的程序設(shè)置入root權(quán)限 。這不是系統(tǒng)的問題，而是語言解釋器的問題，屏蔽語言解釋器本身的SetUID屬性可以避免這個(gè)問題 。
當(dāng)系統(tǒng)作為NFS服務(wù)器，設(shè)置共享出去的NFS文件系統(tǒng)時(shí)，應(yīng)該使用maproot或mapall參數(shù)，以便隔離危險(xiǎn)，使得即使在遠(yuǎn)程系統(tǒng)被侵入的情況下，防止從這個(gè)允許安裝文件系統(tǒng)的客戶上對本機(jī)的入侵 。還可以考慮使用安全的NFS協(xié)議，使用DES算法進(jìn)行服務(wù)器和客戶機(jī)的認(rèn)證 。如果系統(tǒng)不使用NFS及其他RPC服務(wù)時(shí)，最好屏蔽相關(guān)的選項(xiàng)，如portmap_enable選項(xiàng) 。

推薦閱讀

• 

  地底下的植物
• 

  茶花不愛長新芽是什么原因造成的，茶花不愛長新芽是什么原因造成的呢
• 

  重樓適合在什么地方種植
• 

  蘋果系統(tǒng)40g怎么回事
• 

  別克gl8冷卻風(fēng)扇繼電器位置
• 

  小平魚怎么做好吃又簡單
• 

  倒立能去眼袋嗎
• 

  蒸箱清洗步驟有什么
• 

  青春期為什么長痘痘
• 

  房屋贈(zèng)送面積一般都有哪些
• 

  小米11pro怎么開啟摘錄功能。
• 

  烏魯木齊特大火災(zāi) 烏魯木齊大火怎么回事
• 

  成都到樂山高鐵哪里，成都到樂山高鐵在哪個(gè)站下在哪個(gè)位置呢
• 

  移動(dòng)硬盤什么品牌好 最快的移動(dòng)硬盤
• 

  攻沙武器有神圣什么屬性,傳奇《攻沙》英雄有三寶
• 

  misans字體下載了怎么用

• 聯(lián)想k5paly設(shè)置鬧鐘具體操作方法
• FreeBSD 實(shí)用小技巧ctrl+d
• Foxmail設(shè)置個(gè)性簽名詳細(xì)操作步驟
• FreeBSD 權(quán)限操作
• 紅米note7pro設(shè)置來電閃光燈具體操作方法
• 在FreeBSD中安裝雙網(wǎng)卡實(shí)例
• 最簡單FreeBSD網(wǎng)關(guān)方案
• 全民K歌中設(shè)置非WiFi環(huán)境提醒具體操作方法
• 29 FreeBSD連載：打印機(jī)配置：系統(tǒng)結(jié)構(gòu)
• 03 FreeBSD連載：其他相關(guān)系統(tǒng)和組織