<div dir="ltr">First, thank you a lot everybody, I didn't think to have several detailed e-mails like that.<div>I need now to merge all of your ideas and a propose a new version of the config file.</div><div><br></div><div>However, I answer first to Tony, because I have a remark below:</div><div><br></div><div class="gmail_extra"><div class="gmail_quote">2018-01-15 19:15 GMT+01:00 Tony Finch <span dir="ltr"><<a href="mailto:dot@dotat.at" target="_blank">dot@dotat.at</a>></span>:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-">Ludovic Gasc <<a href="mailto:gmludo@gmail.com">gmludo@gmail.com</a>> wrote:<br>
><br>
> 1. The list of minimal capabilities needed for bind to run correctly:<br>
> <a href="http://man7.org/linux/man-pages/man7/capabilities.7.html" rel="noreferrer" target="_blank">http://man7.org/linux/man-<wbr>pages/man7/capabilities.7.html</a><br>
<br>
</span>named already drops capabilities - have a look at the code around here:<br>
<a href="https://source.isc.org/cgi-bin/gitweb.cgi?p=bind9.git;a=blob;f=bin/named/unix/os.c;hb=v9_11_2#l234" rel="noreferrer" target="_blank">https://source.isc.org/cgi-<wbr>bin/gitweb.cgi?p=bind9.git;a=<wbr>blob;f=bin/named/unix/os.c;hb=<wbr>v9_11_2#l234</a><br>
<br>
Note that it's a bit clever - the privileges are dropped in two stages,<br>
right at the start, and after the server has been configured.<br></blockquote><div><br></div><div>One of motivation behind systemd is to have all daemonization features (start in root and drop rights to run with a normal user, chroot, background processes...) outside the daemon itself to reduce the security risk, share the same code for daemonization and reduce the complexity of each daemon.</div><div>In the specific case of bind, it already has these features and bind runs on OS where you don't have systemd.</div><div><br></div><div>As you said, I don't think it hurts if it's done two times, I don't yet, I will experiment.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<span class="gmail-HOEnZb"><font color="#888888"><br>
Tony.<br>
--<br>
f.anthony.n.finch  <<a href="mailto:dot@dotat.at">dot@dotat.at</a>>  <a href="http://dotat.at/" rel="noreferrer" target="_blank">http://dotat.at/</a>  -  I xn--zr8h punycode<br>
Southeast Iceland: Westerly 6 to gale 8, veering northwesterly 4 or 5 later,<br>
occasionally severe gale 9 at first in south. Very rough in north, otherwise<br>
high, occasionally very high in far south. Snow showers. Good occasionally<br>
poor.<br>
</font></span></blockquote></div><br></div></div>