Bind9 chroot Jail mit AppArmor notwendig

[rubiy]

Hallo,

Ich bin gerde dabei einen DNS-Server mit bind9 aufzustezten.
Für die Sicherheit wird oft vorgeschlagen bind9 in ein chroot Jail zu setzten.

Ich bin auf diesen Guide gestoßen.
https://help.ubuntu.com/community/BIND9ServerHowto
der ganz gut beschreibt wie man bind9 in ein chroot Jail setzt.

Allerdings habe ich in diesem Guide auch gelesen dass es nicht notwenig sei, bind9 in ein chroot Jail zu stecken wenn AppArmor installiert ist.

Hier die Zeile in der die Aussage getroffen wird

Chrooting BIND9 is a recommended setup from a security perspective if you don't have AppArmor installed. In a chroot enviroment, BIND9 has access to all the files and hardware devices it needs, but is unable to access anything it should not need.

Was ist eure Meinung zu diesem Thema? Setzt ihr bind9 auch mit AppArmor in ein chroot Jail oder muss das nicht sein um die Sicherheit zu erhöhen.

Gruß rubiy

[HZB]

Apparmor ja, chroot zusätzlich nein. Aber eine globale Aussage ob das jetzt sehr gut oder ganz doof ist, kann Dir niemand sagen.
Es kommt halt auch auf den Use Case an.

Bei externen DNS Server habe Ich mich persönlich dafür entschieden nur mehr Hidden Master für die mir anvertrauten Domains zu verwenden. Der Master steht lokal in einem eigenen VLAN im RZ und repliziert die Zonen auf Server im Internet bei einem großen Anbieter.

Bei internen DNS Servern halte ich es persönlich für ausreichend "nur" Apparmor zu verwenden.