Recientemente instalé Bind en una máquina CentOS. Todo parece funcionar con solo el puerto 53 abierto. Sin embargo, noté en el archivo de configuración que hay una línea en rndc.conf que dice "puerto predeterminado 953;" No tengo el puerto 953 abierto y Bind parece estar funcionando. ¿Puedo mantener cerrado el 953? ¿Cuál es el punto de que el RNDC escuche el 953?
Respuesta1
¿Qué imprime esto?
$ sudo netstat -ntlp | grep ':953\>'
Debería imprimir algo como:
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 1234/named
o esto si tienes IPv6 habilitado:
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 1234/named
tcp 0 0 ::1:953 :::* LISTEN 1234/named
Debido a que solo utiliza la dirección de bucle invertido, solo pueden acceder al puerto los usuarios que hayan iniciado sesión en el servidor, no desde ningún otro lugar de la red.
rndc se utiliza para administrar el servidor de nombres, por ejemplo, "rndc reload" es la forma preferida de decirle a BIND que cambió un archivo de zona y que debería volver a cargarlo.
En mi servidor Debian (no estoy seguro acerca de CentOS), /etc/init.d/bind9 también lo requiere para iniciar y detener el servicio. Creo que CentOS llama a ese archivo /etc/init.d/named. No lo desactivaría ni lo bloquearía sin comprobar primero cómo funciona ese script.
La lista completa de comandos que puede ejecutar se encuentra en elManual de referencia del administrador de BIND 9: herramientas administrativas.
En cuanto a por qué utiliza un puerto TCP, ejecute "man rndc" para obtener más detalles:
rndc communicates with the name server over a TCP connection, sending
commands authenticated with digital signatures. In the current versions
of rndc and named, the only supported authentication algorithm is
HMAC-MD5, which uses a shared secret on each end of the connection.
This provides TSIG-style authentication for the command request and the
name server’s response. All commands sent over the channel must be
signed by a key_id known to the server.
rndc reads a configuration file to determine how to contact the name
server and decide what algorithm and key it should use.
Entonces, si desea protegerlo, consulte los detalles de la clave y el archivo de clave. Por ejemplo, /etc/bind/rndc.key (o /etc/named/rndc.key) debería tener permisos restringidos.
Respuesta2
RNDC es el puerto de administración remota. No lo abras al mundo exterior. A menos que utilice la utilidad rndc, no es necesario que este puerto esté abierto en absoluto; puede desactivarlo de forma segura.
Bind necesita UDP 53 para atender solicitudes normales. También debe abrir TCP 53 si (y sólo si) este servidor es el maestro de una zona y un servidor secundario necesita transferir desde allí.
Respuesta3
Agregue lo siguiente al final de /etc/named.conf (compatible con RedHat, ¿Debian?)
control S { };
para desactivarlo. No veo ningún sentido en tener esto abierto en un servidor DNS esclavo.
Respuesta4
En realidad, es BIND el que escucha en el puerto TCP 953 de la interfaz loopback. RNDC es una utilidad cliente que se puede utilizar para controlar BIND. RNDC habla con BIND a través del puerto TCP 953. Es totalmente seguro dejarlo abierto.