1. Насчет allow-query ничего нескажу.

2. http://lug.irk.ru/docs/chroot.htm

3. возможно если он действительно только кэшируюший и недержит реальных зон

Еще помогут пачи на ядро openwall & hap .

2. chroot bind9.1.3:

named -t /chroot
где /chroot отдельный раздел или
named -t /var/chroot

Но, сначала создаешь в /chroot дир-ии /etc & /etc/named
копируешь /etc/named.conf & localtime в /chroot/etc
/etc/named/*.* в /chroot/etc/named

Да, и ядро д.б. версии не меньше 2.3.с чем-то там, ну,
если версия ядра не подходящая, то при запуске под chroot
named сам скажет, какая версия его устроит :)

Удачи!
Sciurus

Да, насчет защиты, в этом форуме есть тема "Анатомия атаки", там дана ссылка на статью о взломе bind,
так вот автор утверждает, что он не слышал ни разу о взломах bind
на серверах, на которых стоит portsentry. Поскольку никто его не опровергнул,
будем надеяться :))

Поправочка: не chroot зависит от версии ядра, а
запустить с ключем -u named будет невозможно, если версия ядра < 2.3...

И вопрос в тему, какой минимальный объем может быть у раздела, в котором крутится
а-chroot-енный bind? Судя по тому, что в нем только конфиги, можно
ли создать chroot-раздел объемом допустим 1MB и дальше жить спокойно?

Ещё раз повторю ;)
достаточно сделать так чтоб бинд слушал только внутренний интерфейс...

читать доку на бинд в районе опции listen-on в named.conf!

>Ещё раз повторю ;) 
>достаточно сделать так чтоб бинд слушал только внутренний интерфейс... 

А у меня только один интерфейс (уж и не знаю как его назвать, внутренний он или внешний). У меня локалка, локалка через хаб подключена к Киске. Ну сделаю я listen-on, ну будет bind слушать локальные компы, но ведь и внешние компы ко мне на этот же интерфейс стучаться будут. Как в этом случае быть ?

Cisco ACL?

пожалуйста правильно форматируйте свои постинги

>Cisco ACL? 
Нет, Cisco 1601, IOS 11.2

>пожалуйста правильно форматируйте свои постинги
извините, нечаянно...

1>Да, и ядро д.б. версии не меньше 2.3.с чем-то там, ну, 
>если версия ядра не подходящая, то при запуске под chroot 
>named сам скажет, какая версия его устроит :) 

2>Поправочка: не chroot зависит от версии ядра, а 
>запустить с ключем -u named будет невозможно, 
>если версия ядра < 2.3... 
                  
                  ^^^^^^^^^^^^^^^^^^^^^
                ГОНЫ !!! ГОНЫ !!! ГОНЫ !!!

У мня стоит Mandrake 7.0, ядро 2.2.14-15mdksecure,
скомпилял я BIND 9.1.3, зачрутил примерно так-же, 
как описано в 3-ем сообщении (см. выше), 
      и ничего, бегает... не валится...

вот кусочек логов:
.... ./named[541] starting BIND 9.1.3 -t /var/bind
.........................................
.........................................
.... ./named[543] running

/usr/sbin/named -u named -t /chroot

Ну так он у тебя без ключа -u named запускается, оттого и все нормально
А я про запуск named от имени юзера named говорю.
Не запустится он, если версия ядра < 2.3.99-pre3
там флаг -u не поддерживается

/usr/sbin/named -u named -t /chroot

Ну так он у тебя без ключа -u named запускается, оттого и все нормально
А я про запуск named от имени юзера named говорю.
Не запустится он, если версия ядра < 2.3.99-pre3
там флаг -u не поддерживается

А как ты узнал, что он не от named запускается ?
В сислогах бинд не пишет под каким пользователем он запущен.
А работает он у меня от имени named. (ps -aux)
А чтобы он так работал, компилять его надо с параметром
"--disable-thread", читай README.
Запускаться будет только ОДНА копия бинда, как старый добрый 8.2.2
А ядро у меня 2.2.14.
Вот так-то вот !

Поправка к предыдущему сообщению:

с параметром "--disable-threads" надо запускать configure, 
компилять как обычно.

Автор.