Centos
綁定和打開埠
我最近在 CentOS 機器上安裝了 Bind。一切似乎都在只打開埠 53 的情況下工作。但是,我在配置文件中註意到 rndc.conf 中有一行寫著“default-port 953;”。我沒有打開埠 953 並且 Bind 似乎正在工作。我可以關閉 953 嗎?RNDC 監聽 953 有什麼意義?
這個列印什麼?
$ sudo netstat -ntlp | grep ':953\>'
它應該列印如下內容:
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 1234/named
或者,如果您啟用了 IPv6:
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 1234/named tcp 0 0 ::1:953 :::* LISTEN 1234/named
因為它只使用環回地址,所以該埠只能由登錄到伺服器本身的使用者訪問,而不能從網路上的其他地方訪問。
rndc 用於管理名稱伺服器,例如“rndc reload”是告訴 BIND 您更改了區域文件並且應該重新載入它們的首選方式。
在我的 Debian 伺服器(不確定 CentOS)上,/etc/init.d/bind9 也需要它來啟動和停止服務。我認為 CentOS 呼叫那個文件 /etc/init.d/named。如果不先檢查該腳本的工作方式,我不會禁用它或阻止它。
您可以執行的命令的完整列表在BIND 9 管理員參考手冊 - 管理工具中。
至於為什麼它使用 TCP 埠,請執行“man rndc”了解詳細資訊:
rndc communicates with the name server over a TCP connection, sending commands authenticated with digital signatures. In the current versions of rndc and named, the only supported authentication algorithm is HMAC-MD5, which uses a shared secret on each end of the connection. This provides TSIG-style authentication for the command request and the name server’s response. All commands sent over the channel must be signed by a key_id known to the server. rndc reads a configuration file to determine how to contact the name server and decide what algorithm and key it should use.
因此,如果您希望保護它,請查看密鑰和密鑰文件的詳細資訊。例如,/etc/bind/rndc.key(或 /etc/named/rndc.key)應該具有受限權限。