刚刚意识到安装 bind-9.9.4-P2 后,已经安装了一个 ./etc/bind.keys 文件。我查看了他们的解释这里但仍然不知道这是做什么用的。
有人能告诉我是否需要通过使该密钥仅可由 root 读取来保护它,类似于我对 rndc.conf 文件执行相同操作?
答案1
文件中没有任何“敏感”内容bind.keys,因此你需要保护它,以便普通用户无法读取它 - 它包含 DNSSEC 的“信任锚”(用于验证根区域的初始数据,以及直立式真空泵)。
但是,您应该确保该文件不能被普通用户(或 BIND 运行的用户)写入 - 事实上,该文件根本不需要可写入。它不需要频繁更新(如果有的话),如果您需要替换它,您可以以 root 身份进行替换。