ポートをバインドして開く
最近、CentOSボックスにBindをインストールしました。ポート53のみを開いた状態ですべてが機能しているように見えます。ただし、設定ファイルで、rndc.confに「default-port953;」という行があることに気付きました。ポート953を開いていませんが、バインドが機能しているようです。 953を閉じたままにできますか? 953でRNDCがリッスンするポイントは何ですか?
これは何を印刷しますか?
$ Sudo netstat -ntlp | grep ':953\>'
次のように出力されます。
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 1234/named
または、IPv6を有効にしている場合は次のようにします。
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 1234/named
tcp 0 0 ::1:953 :::* LISTEN 1234/named
ループバックアドレスのみを使用するため、ポートにはサーバー自体にログオンしているユーザーのみがアクセスでき、ネットワーク上の他の場所からはアクセスできません。
rndcは、ネームサーバーの管理に使用されます。たとえば、「rndc reload」は、ゾーンファイルを変更したので、それらを再ロードする必要があることをBINDに通知するための推奨される方法です。
私のDebianサーバー(CentOSについてはよくわかりません)では、/ etc/init.d/bind9でもサービスを開始および停止する必要があります。 CentOSはそのファイルを/etc/init.d/namedと呼んでいると思います。そのスクリプトが最初にどのように機能するかを確認せずに、無効にしたりブロックしたりすることはありません。
実行できるコマンドの完全なリストは、 BIND 9管理者リファレンスマニュアル-管理ツール にあります。
TCPポートを使用する理由については、「manrndc」を実行して詳細を確認してください。
rndc communicates with the name server over a TCP connection, sending
commands authenticated with digital signatures. In the current versions
of rndc and named, the only supported authentication algorithm is
HMAC-MD5, which uses a shared secret on each end of the connection.
This provides TSIG-style authentication for the command request and the
name server’s response. All commands sent over the channel must be
signed by a key_id known to the server.
rndc reads a configuration file to determine how to contact the name
server and decide what algorithm and key it should use.
したがって、セキュリティで保護する場合は、キーとキーファイルの詳細を調べてください。たとえば、/ etc/bind/rndc.key(または/etc/named/rndc.key)には制限された権限が必要です。
RNDCはリモート管理ポートです。外の世界に開かないでください。 rndcユーティリティを使用しない限り、このポートを開く必要はまったくありません。安全にファイアウォールで保護できます。
バインドには、通常の要求を処理するためにUDP53が必要です。また、このサーバーがゾーンのマスターであり、セカンダリサーバーがゾーンから転送する必要がある場合は、TCP 53)を開く必要があります。
通常、境界ファイアウォールで953ポートの要求を転送する必要はありませんが、ローカルサービスとしてDNSサーバー上で開いたままにしておくことは有益です(もちろん、このサーバーへのsshアクセスがある場合)。適切に構成されたrndcは、namedを管理するための優れたツールです。
実際には、ループバックインターフェイスのTCPポート953でリッスンするのはBINDです。RNDCはBINDを制御するために使用できるクライアントユーティリティです。RNDCはTCP =ポート953。開いたままにしておくのは完全に安全です。