<div dir="ltr"><br><br><div class="gmail_quote"><div dir="ltr">On Mon, Apr 25, 2016 at 2:34 PM Matthew Pounsett <<a href="mailto:matt@conundrum.com">matt@conundrum.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br><br>On Monday, 25 April 2016,  <<a href="mailto:jasonsu@mail-central.com" target="_blank">jasonsu@mail-central.com</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
<br>
On Mon, Apr 25, 2016, at 10:58 AM, Matthew Pounsett wrote:<br>
> It's not clear to me why one would want to destroy/rebuild the chroot every<br>
> time you restart the process.<br>
<br>
Well, here<br>
<br>
(1) Because I inherited it this way, and<br>
(2) The notes' quoted examples did that too, and<br>
(3) I'd not yet gotten any/good advice NOT to (security?)</blockquote><div><br></div><div>Unless you have a clear reason to do it (perhaps there's some security consideration I haven't thought of) it seems to me it's unnecessary complexity that would lead to problems just like this.  </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br></blockquote></blockquote><div><br></div><div>I think that some of the justifications for doing something like this is similar to some of the justifications for running things in a container -- if an attacker does manage to break out of the process they will have a much harder time persisting. Also, if I do something stupid I can just restart the chroot / container and all of my stupid gets overwritten with a known good version...</div><div><br></div><div>Not suggesting that chroot with something that overwrites all my changes is a good idea, just explaining a justification I've heard a number of times...</div><div><br></div><div>W</div><div><br></div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
TBH, I'm not even sure whether "these days", chroot is still recommended.  Apparmor or Docker instead? Is privsep taken care of in current bind so we don't have to worry about it anymore (e.g., the openntpd vs ntpd case)?  I'm not clear on it.</blockquote><div><br></div><div>Although BIND 9 has never had a remote code execution exploit that I'm aware of, it's still advisable to run it in a chroot environment. </div><div> <span></span></div>
_______________________________________________<br>
Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br>
<br>
bind-users mailing list<br>
<a href="mailto:bind-users@lists.isc.org" target="_blank">bind-users@lists.isc.org</a><br>
<a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a></blockquote></div></div>