第一次将TinyDNS作为服务安装在FreeBSD监狱中--怎么做？

Question

目前我正在使用FreeBSD 11.2 (可能会在一段时间内移动到12 )。我需要一个微型权威-只有DNS服务器(不需要查找或缓存，以下10个域和10个查询/小时，几乎没有记录的变化)。

我可能会使用TinyDNS，它是djbdns的一部分，它以安全性而闻名，而且看起来很小，而且可以满足我的需要。

安全的部分原因是它将暴露在互联网上，尽管在IP/端口过滤器和非常低的速率，速率限制器(使用pf实现这一点)后面。但出于这个原因，我确实想特别注意守护进程是如何设置的，以避免明显的漏洞。我指的是一些方面，比如需要的用户和组、启动/停止脚本、监狱/着色、最小化/禁用/拒绝攻击者可以转向的主要非必要访问/功能。

(我应该提到，我可以“通常”在测试系统上安装tinydns，并创建所需的.conf文件，所以这完全是如何以安全的方式运行它，这是缺失的)

我没有经验来设置软件来运行chrooted/jailed，也没有为适当的安全实践检查一个着色/被监禁的包，这也是我第一次尝试这样做，尽管我选择了特定的DNS服务器包，这显然是因为它的设置简单。

忽略.conf文件，“食谱”看起来会是什么样子，将TinyDNS设置为正确地作为服务运行，并尽可能减少对“对守护进程不重要但对攻击者有帮助的其他东西”的访问？

Answer 1