在專用 VM 中綁定？

最近我開始維護另一個公司網路，其中 BIND 已安裝在專用 VM 中（表面上是出於安全考慮）。該公司使用 Debian 作為伺服器系統。

我不得不說這個概念讓我很感興趣。除非您有 BIND 專用盒子（我沒有），否則將其安裝在 VM 主機（兩個，因為它們位於主動/被動集群中）是了解 BIND 漏洞歷史的一種安全風險。我知道它在 Debian (?) 中已被 chroot，但仍然如此。

你認為這是個好主意嗎？優點缺點？鑑於目前的 BIND 版本，它真的需要還是基本上沒有意義？

我認為 BIND 9 的重寫（大約 20 年前發布的初始 9.x 版本）在解決之前版本的安全歷史方面取得了巨大進步。

並不是說它從那以後就完全一塵不染，但與其他流行的軟體項目相比，我發現 9.x 的記錄並沒有真正脫穎而出。

（在我的書中，它只需要與其他任何東西相同的維護水平；將安裝錯誤和安全修復程序，並且必須定期完成這項工作。）

即，我認為 BIND 本身並不一定會讓您比其他任何事情都更想隔離它。

也就是說，我認為隔離服務、BIND 或其他方式並不是一個壞主意。

優點：

• 沒有來自同一主機上的不相關服務的“糾纏”，這些服務以某種不太正式的方式進行互動
• 沒有來自同一主機上不相關軟體的依賴衝突
• 資源使用更加孤立，這減少了互動並可能使歸因更加清晰
• 無需更改其他系統即可遷移/擴展
• 發生安全事件時更加隔離的環境

缺點：

• 資源效率較低
• 也許出於某種原因需要某種形式的直接互動
• 更多需要維護的東西（自動化的東西）

引用自：https://serverfault.com/questions/1047461