ポートのバインドとオープン

Question 1

これは何を印刷するのですか?

$ sudo netstat -ntlp | grep ':953\>'

次のように印刷されます:

tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN      1234/named

または IPv6 が有効になっている場合は次のようになります:

tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN      1234/named
tcp        0      0 ::1:953                 :::*                    LISTEN      1234/named

ループバックアドレスのみを使用するため、ポートにアクセスできるのはサーバー自体にログオンしているユーザーのみであり、ネットワーク上の他の場所からはアクセスできません。

rndc はネームサーバーを管理するために使用されます。たとえば、「rndc reload」は、ゾーンファイルを変更したので再ロードする必要があることを BIND に通知するための推奨される方法です。

私の Debian サーバー (CentOS については不明) では、サービスを開始および停止するために /etc/init.d/bind9 も必要です。CentOS ではそのファイルを /etc/init.d/named と呼ぶと思います。そのスクリプトがどのように動作するかを最初に確認せずに、無効にしたりブロックしたりすることはお勧めしません。

実行できるコマンドの完全なリストはBIND 9 管理者リファレンスマニュアル - 管理ツール。

TCP ポートを使用する理由の詳細については、「man rndc」を実行してください。

   rndc communicates with the name server over a TCP connection, sending
   commands authenticated with digital signatures. In the current versions
   of rndc and named, the only supported authentication algorithm is
   HMAC-MD5, which uses a shared secret on each end of the connection.
   This provides TSIG-style authentication for the command request and the
   name server’s response. All commands sent over the channel must be
   signed by a key_id known to the server.

   rndc reads a configuration file to determine how to contact the name
   server and decide what algorithm and key it should use.

したがって、セキュリティを確保したい場合は、キーとキーファイルの詳細を確認してください。たとえば、/etc/bind/rndc.key (または /etc/named/rndc.key) には制限された権限が必要です。

Answer

これは何を印刷するのですか?

$ sudo netstat -ntlp | grep ':953\>'

次のように印刷されます:

tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN      1234/named

または IPv6 が有効になっている場合は次のようになります:

tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN      1234/named
tcp        0      0 ::1:953                 :::*                    LISTEN      1234/named

ループバックアドレスのみを使用するため、ポートにアクセスできるのはサーバー自体にログオンしているユーザーのみであり、ネットワーク上の他の場所からはアクセスできません。

rndc はネームサーバーを管理するために使用されます。たとえば、「rndc reload」は、ゾーンファイルを変更したので再ロードする必要があることを BIND に通知するための推奨される方法です。

私の Debian サーバー (CentOS については不明) では、サービスを開始および停止するために /etc/init.d/bind9 も必要です。CentOS ではそのファイルを /etc/init.d/named と呼ぶと思います。そのスクリプトがどのように動作するかを最初に確認せずに、無効にしたりブロックしたりすることはお勧めしません。

実行できるコマンドの完全なリストはBIND 9 管理者リファレンスマニュアル - 管理ツール。

TCP ポートを使用する理由の詳細については、「man rndc」を実行してください。

   rndc communicates with the name server over a TCP connection, sending
   commands authenticated with digital signatures. In the current versions
   of rndc and named, the only supported authentication algorithm is
   HMAC-MD5, which uses a shared secret on each end of the connection.
   This provides TSIG-style authentication for the command request and the
   name server’s response. All commands sent over the channel must be
   signed by a key_id known to the server.

   rndc reads a configuration file to determine how to contact the name
   server and decide what algorithm and key it should use.

したがって、セキュリティを確保したい場合は、キーとキーファイルの詳細を確認してください。たとえば、/etc/bind/rndc.key (または /etc/named/rndc.key) には制限された権限が必要です。

Question 2

RNDC はリモート管理ポートです。外部に公開しないでください。rndc ユーティリティを使用しない限り、このポートを開く必要はまったくありません。ファイアウォールで安全に遮断できます。

Bind は通常のリクエストを処理するために UDP 53 を必要とします。このサーバーがゾーンのマスターであり、セカンダリサーバーがそこから転送する必要がある場合に限り、TCP 53 も開く必要があります。

Answer

RNDC はリモート管理ポートです。外部に公開しないでください。rndc ユーティリティを使用しない限り、このポートを開く必要はまったくありません。ファイアウォールで安全に遮断できます。

Bind は通常のリクエストを処理するために UDP 53 を必要とします。このサーバーがゾーンのマスターであり、セカンダリサーバーがそこから転送する必要がある場合に限り、TCP 53 も開く必要があります。

Question 3

/etc/named.conf の末尾に以下を追加します (RedHat 互換、Debian??)

コントロール { };

無効にします。スレーブ DNS サーバーでこれを開いたままにしておく意味がわかりません。

ソース：https://www.linuxquestions.org/questions/linux-server-73/bind-and-rndc-problems-how-do-i-remove-rndc-597478/#post2949852

Answer