최근 CentOS 상자에 Bind를 설치했습니다. 포트 53만 열려 있으면 모든 것이 작동하는 것 같습니다. 그러나 구성 파일에서 rndc.conf에 "default-port 953;"이라는 줄이 있음을 확인했습니다. 포트 953이 열려 있지 않고 바인딩이 작동하는 것 같습니다. 953을 폐쇄해 둘 수 있나요? 953을 듣는 RNDC의 요점은 무엇입니까?
답변1
이것은 무엇을 인쇄합니까?
$ sudo netstat -ntlp | grep ':953\>'
다음과 같이 인쇄되어야 합니다.
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 1234/named
또는 IPv6가 활성화된 경우:
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 1234/named
tcp 0 0 ::1:953 :::* LISTEN 1234/named
루프백 주소만 사용하기 때문에 네트워크의 다른 곳에서는 액세스할 수 없고 서버 자체에 로그온한 사용자만 포트에 액세스할 수 있습니다.
rndc는 이름 서버를 관리하는 데 사용됩니다. 예를 들어 "rndc reload"는 BIND에 영역 파일을 변경했으며 해당 파일을 다시 로드해야 한다고 알리는 데 선호되는 방법입니다.
내 Debian 서버(CentOS에 대해서는 잘 모르겠습니다)에서는 서비스를 시작하고 중지하기 위해 /etc/init.d/bind9에도 필요합니다. CentOS가 해당 파일을 /etc/init.d/named라고 부르는 것 같습니다. 해당 스크립트가 어떻게 작동하는지 먼저 확인하지 않고는 비활성화하거나 차단하지 않을 것입니다.
실행할 수 있는 명령의 전체 목록은BIND 9 관리자 참조 매뉴얼 - 관리 도구.
TCP 포트를 사용하는 이유에 대해 자세히 알아보려면 "man rndc"를 실행하세요.
rndc communicates with the name server over a TCP connection, sending
commands authenticated with digital signatures. In the current versions
of rndc and named, the only supported authentication algorithm is
HMAC-MD5, which uses a shared secret on each end of the connection.
This provides TSIG-style authentication for the command request and the
name server’s response. All commands sent over the channel must be
signed by a key_id known to the server.
rndc reads a configuration file to determine how to contact the name
server and decide what algorithm and key it should use.
따라서 보안을 유지하려면 키와 키 파일의 세부정보를 살펴보세요. 예를 들어 /etc/bind/rndc.key(또는 /etc/named/rndc.key)에는 제한된 권한이 있어야 합니다.
답변2
RNDC는 원격 관리 포트입니다. 외부 세계에 공개하지 마십시오. rndc 유틸리티를 사용하지 않는 한 이 포트를 열 필요는 없으며 안전하게 방화벽을 해제할 수 있습니다.
Bind가 일반 요청을 처리하려면 UDP 53이 필요합니다. 또한 이 서버가 영역의 마스터이고 보조 서버가 이 서버에서 전송해야 하는 경우에만 TCP 53을 열어야 합니다.
답변3
/etc/named.conf 끝에 다음을 추가합니다(RedHat 호환, Debian??)
{ }를 제어합니다.
비활성화합니다. 슬레이브 DNS 서버에서 이것을 열어 두는 것은 의미가 없습니다.
답변4
실제로 루프백 인터페이스의 TCP 포트 953을 수신하는 것은 BIND입니다. RNDC는 BIND를 제어하는 데 사용할 수 있는 클라이언트 유틸리티입니다. RNDC는 TCP 포트 953을 통해 BIND와 통신합니다. 이 포트를 열어 두는 것은 완전히 안전합니다.