我最近在 CentOS 机器上安装了 Bind。一切似乎都正常工作,只需打开端口 53。但是,我注意到配置文件中的 rndc.conf 中有一行写着“默认端口 953;”。我没有打开端口 953,但 Bind 似乎正常工作。我可以保持 953 关闭吗?RNDC 监听 953 有什么意义?
答案1
这打印了什么?
$ sudo netstat -ntlp | grep ':953\>'
它应该打印类似这样的内容:
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 1234/named
或者如果你启用了 IPv6:
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 1234/named
tcp 0 0 ::1:953 :::* LISTEN 1234/named
因为它只使用环回地址,所以只有登录到服务器本身的用户才能访问该端口,而不能从网络上的其他地方访问。
rndc 用于管理名称服务器,例如“rndc reload”是告诉 BIND 您更改了区域文件并且应该重新加载它们的首选方法。
在我的 Debian 服务器上(不确定 CentOS 是否如此),/etc/init.d/bind9 也需要它来启动和停止服务。我认为 CentOS 会调用该文件 /etc/init.d/named。我不会在不先检查该脚本如何工作的情况下禁用或阻止它。
您可以运行的完整命令列表位于BIND 9 管理员参考手册 - 管理工具。
至于为什么它使用TCP端口,请运行“man rndc”查看详细信息:
rndc communicates with the name server over a TCP connection, sending
commands authenticated with digital signatures. In the current versions
of rndc and named, the only supported authentication algorithm is
HMAC-MD5, which uses a shared secret on each end of the connection.
This provides TSIG-style authentication for the command request and the
name server’s response. All commands sent over the channel must be
signed by a key_id known to the server.
rndc reads a configuration file to determine how to contact the name
server and decide what algorithm and key it should use.
因此,如果您希望确保其安全,请查看密钥和密钥文件的详细信息。例如,/etc/bind/rndc.key(或 /etc/named/rndc.key)应具有受限权限。
答案2
RNDC 是远程管理端口。请勿将其向外界开放。除非您使用 rndc 实用程序,否则根本不需要打开此端口,您可以安全地将其防火墙关闭。
Bind 需要 UDP 53 来处理正常请求。如果(且仅当)此服务器是区域的主服务器并且辅助服务器需要从其传输,您还应该打开 TCP 53。
答案3
在 /etc/named.conf 末尾添加以下内容(RedHat 兼容,Debian??)
控制 { };
禁用它。我认为在从属 DNS 服务器上打开它毫无意义。
答案4
实际上,BIND 监听环回接口的 TCP 端口 953。RNDC 是一个可用于控制 BIND 的客户端实用程序。RNDC 通过 TCP 端口 953 与 BIND 通信。将其保持打开状态是完全安全的。