Instalei recentemente o Bind em uma caixa CentOS. Tudo parece estar funcionando apenas com a porta 53 aberta. No entanto, notei no arquivo de configuração que há uma linha em rndc.conf que diz "porta padrão 953;" Não tenho a porta 953 aberta e o Bind parece estar funcionando. Posso manter 953 fechado? Qual é o sentido de o RNDC ouvir no 953?
Responder1
O que isso imprime?
$ sudo netstat -ntlp | grep ':953\>'
Deve imprimir algo como:
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 1234/named
ou isto se você tiver o IPv6 habilitado:
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 1234/named
tcp 0 0 ::1:953 :::* LISTEN 1234/named
Como utiliza apenas o endereço de loopback, a porta só pode ser acessada por usuários conectados ao próprio servidor, e não de qualquer outro lugar da rede.
rndc é usado para gerenciar o servidor de nomes, por exemplo "rndc reload" é a maneira preferida de informar ao BIND que você alterou um arquivo de zona e ele deve recarregá-lo.
No meu servidor Debian (não tenho certeza sobre o CentOS), /etc/init.d/bind9 também é exigido para iniciar e parar o serviço. Acho que o CentOS chama esse arquivo /etc/init.d/named. Eu não o desativaria ou bloquearia sem verificar primeiro como esse script funciona.
A lista completa de comandos que você pode executar está noManual de referência do administrador do BIND 9 - Ferramentas administrativas.
Para saber por que ele usa uma porta TCP, execute "man rndc" para obter detalhes:
rndc communicates with the name server over a TCP connection, sending
commands authenticated with digital signatures. In the current versions
of rndc and named, the only supported authentication algorithm is
HMAC-MD5, which uses a shared secret on each end of the connection.
This provides TSIG-style authentication for the command request and the
name server’s response. All commands sent over the channel must be
signed by a key_id known to the server.
rndc reads a configuration file to determine how to contact the name
server and decide what algorithm and key it should use.
Portanto, se você deseja protegê-lo, verifique os detalhes da chave e do arquivo da chave. Por exemplo, /etc/bind/rndc.key (ou /etc/named/rndc.key) deve ter permissões restritas.
Responder2
RNDC é a porta de administração remota. Não o abra para o mundo exterior. A menos que você use o utilitário rndc, não é necessário que esta porta esteja aberta, você pode desativá-la com segurança.
O Bind precisa do UDP 53 para atender às solicitações normais. Você também deve abrir o TCP 53 se (e somente se) este servidor for o mestre de uma zona e um servidor secundário precisar transferir dele.
Responder3
Adicione o seguinte no final de /etc/named.conf (compatível com RedHat, Debian??)
controles { };
para desativá-lo. Não vejo sentido em ter isso aberto em um servidor DNS escravo.
Responder4
Na verdade, é o BIND que escuta na porta TCP 953 da interface de loopback. RNDC é um utilitário cliente que pode ser usado para controlar o BIND. O RNDC se comunica com o BIND pela porta TCP 953. É totalmente seguro deixá-lo aberto.