Ich habe vor Kurzem Bind auf einer CentOS-Box installiert. Alles scheint zu funktionieren, wenn nur Port 53 geöffnet ist. Allerdings ist mir in der Konfigurationsdatei aufgefallen, dass in rndc.conf eine Zeile mit dem Inhalt „default-port 953“ steht. Ich habe Port 953 nicht geöffnet und Bind scheint zu funktionieren. Kann ich 953 geschlossen lassen? Welchen Sinn hat es, wenn RNDC auf 953 lauscht?
Antwort1
Was druckt das?
$ sudo netstat -ntlp | grep ':953\>'
Es sollte ungefähr Folgendes ausgegeben werden:
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 1234/named
oder dies, wenn Sie IPv6 aktiviert haben:
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 1234/named
tcp 0 0 ::1:953 :::* LISTEN 1234/named
Da nur die Loopback-Adresse verwendet wird, ist der Port nur für Benutzer zugänglich, die beim Server selbst angemeldet sind, nicht von anderswo im Netzwerk.
rndc wird zum Verwalten des Nameservers verwendet. „rndc reload“ ist beispielsweise die bevorzugte Methode, um BIND mitzuteilen, dass Sie eine Zonendatei geändert haben und diese neu laden soll.
Auf meinem Debian-Server (bei CentOS bin ich mir nicht sicher) wird es auch von /etc/init.d/bind9 benötigt, um den Dienst zu starten und zu stoppen. Ich glaube, CentOS nennt diese Datei /etc/init.d/named. Ich würde es nicht deaktivieren oder blockieren, ohne vorher zu prüfen, wie dieses Skript funktioniert.
Die vollständige Liste der ausführbaren Befehle finden Sie imBIND 9 Administrator-Referenzhandbuch - Verwaltungstools.
Um zu erfahren, warum ein TCP-Port verwendet wird, führen Sie „man rndc“ aus:
rndc communicates with the name server over a TCP connection, sending
commands authenticated with digital signatures. In the current versions
of rndc and named, the only supported authentication algorithm is
HMAC-MD5, which uses a shared secret on each end of the connection.
This provides TSIG-style authentication for the command request and the
name server’s response. All commands sent over the channel must be
signed by a key_id known to the server.
rndc reads a configuration file to determine how to contact the name
server and decide what algorithm and key it should use.
Wenn Sie es also sichern möchten, sehen Sie sich die Details des Schlüssels und der Schlüsseldatei an. Beispielsweise sollte /etc/bind/rndc.key (oder /etc/named/rndc.key) eingeschränkte Berechtigungen haben.
Antwort2
RNDC ist der Remote-Administrations-Port. Öffnen Sie ihn nicht für die Außenwelt. Sofern Sie nicht das Dienstprogramm rndc verwenden, ist es nicht notwendig, diesen Port überhaupt zu öffnen. Sie können ihn problemlos durch eine Firewall abschirmen.
Bind benötigt UDP 53, um normale Anfragen zu bearbeiten. Sie sollten TCP 53 auch öffnen, wenn (und nur wenn) dieser Server der Master für eine Zone ist und ein sekundärer Server von ihm übertragen muss.
Antwort3
Fügen Sie am Ende von /etc/named.conf Folgendes hinzu (RedHat-kompatibel, Debian??)
steuert { };
um es zu deaktivieren. Ich sehe keinen Sinn, dies auf einem Slave-DNS-Server offen zu halten.
Antwort4
Tatsächlich ist es BIND, das auf TCP-Port 953 der Loopback-Schnittstelle lauscht. RNDC ist ein Client-Dienstprogramm, mit dem BIND gesteuert werden kann. RNDC kommuniziert mit BIND über TCP-Port 953. Es ist völlig unbedenklich, diesen Port offen zu lassen.