Centos

綁定和打開埠

  • July 5, 2020

我最近在 CentOS 機器上安裝了 Bind。一切似乎都在只打開埠 53 的情況下工作。但是,我在配置文件中註意到 rndc.conf 中有一行寫著“default-port 953;”。我沒有打開埠 953 並且 Bind 似乎正在工作。我可以關閉 953 嗎?RNDC 監聽 953 有什麼意義?

這個列印什麼?

$ sudo netstat -ntlp | grep ':953\>'

它應該列印如下內容:

tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN      1234/named

或者,如果您啟用了 IPv6:

tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN      1234/named
tcp        0      0 ::1:953                 :::*                    LISTEN      1234/named

因為它只使用環回地址,所以該埠只能由登錄到伺服器本身的使用者訪問,而不能從網路上的其他地方訪問。

rndc 用於管理名稱伺服器,例如“rndc reload”是告訴 BIND 您更改了區域文件並且應該重新載入它們的首選方式。

在我的 Debian 伺服器(不確定 CentOS)上,/etc/init.d/bind9 也需要它來啟動和停止服務。我認為 CentOS 呼叫那個文件 /etc/init.d/named。如果不先檢查該腳本的工作方式,我不會禁用它或阻止它。

您可以執行的命令的完整列表在BIND 9 管理員參考手冊 - 管理工具中。

至於為什麼它使用 TCP 埠,請執行“man rndc”了解詳細資訊:

  rndc communicates with the name server over a TCP connection, sending
  commands authenticated with digital signatures. In the current versions
  of rndc and named, the only supported authentication algorithm is
  HMAC-MD5, which uses a shared secret on each end of the connection.
  This provides TSIG-style authentication for the command request and the
  name server’s response. All commands sent over the channel must be
  signed by a key_id known to the server.

  rndc reads a configuration file to determine how to contact the name
  server and decide what algorithm and key it should use.

因此,如果您希望保護它,請查看密鑰和密鑰文件的詳細資訊。例如,/etc/bind/rndc.key(或 /etc/named/rndc.key)應該具有受限權限。

引用自:https://serverfault.com/questions/214295