綁定和打開埠

我最近在 CentOS 機器上安裝了 Bind。一切似乎都在只打開埠 53 的情況下工作。但是，我在配置文件中註意到 rndc.conf 中有一行寫著“default-port 953;”。我沒有打開埠 953 並且 Bind 似乎正在工作。我可以關閉 953 嗎？RNDC 監聽 953 有什麼意義？

這個列印什麼？

$ sudo netstat -ntlp | grep ':953\>'

它應該列印如下內容：

tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN      1234/named

或者，如果您啟用了 IPv6：

tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN      1234/named
tcp        0      0 ::1:953                 :::*                    LISTEN      1234/named

因為它只使用環回地址，所以該埠只能由登錄到伺服器本身的使用者訪問，而不能從網路上的其他地方訪問。

rndc 用於管理名稱伺服器，例如“rndc reload”是告訴 BIND 您更改了區域文件並且應該重新載入它們的首選方式。

在我的 Debian 伺服器（不確定 CentOS）上，/etc/init.d/bind9 也需要它來啟動和停止服務。我認為 CentOS 呼叫那個文件 /etc/init.d/named。如果不先檢查該腳本的工作方式，我不會禁用它或阻止它。

您可以執行的命令的完整列表在BIND 9 管理員參考手冊 - 管理工具中。

至於為什麼它使用 TCP 埠，請執行“man rndc”了解詳細資訊：

  rndc communicates with the name server over a TCP connection, sending
  commands authenticated with digital signatures. In the current versions
  of rndc and named, the only supported authentication algorithm is
  HMAC-MD5, which uses a shared secret on each end of the connection.
  This provides TSIG-style authentication for the command request and the
  name server’s response. All commands sent over the channel must be
  signed by a key_id known to the server.

  rndc reads a configuration file to determine how to contact the name
  server and decide what algorithm and key it should use.

因此，如果您希望保護它，請查看密鑰和密鑰文件的詳細資訊。例如，/etc/bind/rndc.key（或 /etc/named/rndc.key）應該具有受限權限。

引用自：https://serverfault.com/questions/214295