最近 CentOS ボックスに Bind をインストールしました。ポート 53 のみが開いている状態ではすべて正常に動作しているようです。しかし、設定ファイルで rndc.conf に「default-port 953;」という行があることに気付きました。ポート 953 は開いていませんが、Bind は正常に動作しているようです。953 を閉じたままにしておくことはできますか? RNDC が 953 でリッスンする意味は何ですか?
答え1
これは何を印刷するのですか?
$ sudo netstat -ntlp | grep ':953\>'
次のように印刷されます:
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 1234/named
または IPv6 が有効になっている場合は次のようになります:
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 1234/named
tcp 0 0 ::1:953 :::* LISTEN 1234/named
ループバック アドレスのみを使用するため、ポートにアクセスできるのはサーバー自体にログオンしているユーザーのみであり、ネットワーク上の他の場所からはアクセスできません。
rndc はネーム サーバーを管理するために使用されます。たとえば、「rndc reload」は、ゾーン ファイルを変更したので再ロードする必要があることを BIND に通知するための推奨される方法です。
私の Debian サーバー (CentOS については不明) では、サービスを開始および停止するために /etc/init.d/bind9 も必要です。CentOS ではそのファイルを /etc/init.d/named と呼ぶと思います。そのスクリプトがどのように動作するかを最初に確認せずに、無効にしたりブロックしたりすることはお勧めしません。
実行できるコマンドの完全なリストはBIND 9 管理者リファレンスマニュアル - 管理ツール。
TCP ポートを使用する理由の詳細については、「man rndc」を実行してください。
rndc communicates with the name server over a TCP connection, sending
commands authenticated with digital signatures. In the current versions
of rndc and named, the only supported authentication algorithm is
HMAC-MD5, which uses a shared secret on each end of the connection.
This provides TSIG-style authentication for the command request and the
name server’s response. All commands sent over the channel must be
signed by a key_id known to the server.
rndc reads a configuration file to determine how to contact the name
server and decide what algorithm and key it should use.
したがって、セキュリティを確保したい場合は、キーとキー ファイルの詳細を確認してください。たとえば、/etc/bind/rndc.key (または /etc/named/rndc.key) には制限された権限が必要です。
答え2
RNDC はリモート管理ポートです。外部に公開しないでください。rndc ユーティリティを使用しない限り、このポートを開く必要はまったくありません。ファイアウォールで安全に遮断できます。
Bind は通常のリクエストを処理するために UDP 53 を必要とします。このサーバーがゾーンのマスターであり、セカンダリ サーバーがそこから転送する必要がある場合に限り、TCP 53 も開く必要があります。
答え3
/etc/named.conf の末尾に以下を追加します (RedHat 互換、Debian??)
コントロール { };
無効にします。スレーブ DNS サーバーでこれを開いたままにしておく意味がわかりません。
答え4
実際には、ループバック インターフェイスの TCP ポート 953 をリッスンするのは BIND です。RNDC は、BIND を制御するために使用できるクライアント ユーティリティです。RNDC は TCP ポート 953 を介して BIND と通信します。開いたままにしておいてもまったく安全です。