edu*_*e05 2 security domain-name-system xenserver
我有一组运行 Xenserver 5.6 的服务器,用于托管 Web 电子邮件和 VoIP 服务。我目前正在考虑在每个 Xenserver 主机上设置一个 chrooted 绑定服务器(我的意思是在不是虚拟机内的实际服务器上)
这是一个坏主意吗?
小智 6
作为一般规则,我建议不要在 Xen Dom0(具有对硬件和主机上所有虚拟机的完全访问权限的特权域)中绝对最低限度的服务之外运行任何其他服务。
这主要是出于安全考虑 - 根据经验,您应该只在对您具有最大价值的机器上运行基本服务 - 如果您的 Dom0 受到威胁,您的所有 DomU(来宾 VM)也将受到有效影响,如攻击者可以访问每个 VM 的控制台。
如果您确实想运行一些名称服务器,并且它们面向公众且具有权威性,那么将它们作为虚拟机运行是没有问题的,但是您应该尽一切努力在完全独立的环境中运行它们(您总是需要至少两个)网段保证可用性。例如:
ns1.redhat.com. 463 IN A 66.187.233.210
ns2.redhat.com. 463 IN A 209.132.183.2
ns3.redhat.com. 462 IN A 209.132.176.100