我最近在CentOS盒子上安装了Bind.一切似乎只在端口53打开时工作.但是,我在配置文件中注意到rndc.conf中有一行显示“default-port 953”;我没有打开端口953,Bind似乎正在工作.我能保持953关闭吗? RNDC在953上听的重点是什么?
这打印什么?
$sudo netstat -ntlp | grep ':953\>'
它应该打印如下:
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 1234/named
如果您启用了IPv6,则为此:
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 1234/named tcp 0 0 ::1:953 :::* LISTEN 1234/named
由于它仅使用环回地址,因此只有登录到服务器本身的用户才能访问该端口,而不能访问网络上的其他位置.
rndc用于管理名称服务器,例如“rndc reload”是告诉BIND您更改了区域文件并且应该重新加载它们的首选方法.
在我的Debian服务器上(不确定CentOS),/ etc / init.d / bind9还需要启动和停止服务.我认为CentOS调用该文件/etc/init.d/named.我不会禁用它或阻止它而不检查该脚本的工作原理.
您可以运行的完整命令列表位于BIND 9 Administrator’s Reference Manual – Administrative Tools中.
至于为何使用TCP端口,请运行“man rndc”获取详细信息:
rndc communicates with the name server over a TCP connection,sending commands authenticated with digital signatures. In the current versions of rndc and named,the only supported authentication algorithm is HMAC-MD5,which uses a shared secret on each end of the connection. This provides TSIG-style authentication for the command request and the name server’s response. All commands sent over the channel must be signed by a key_id known to the server. rndc reads a configuration file to determine how to contact the name server and decide what algorithm and key it should use.
因此,如果您想要保护它,请查看密钥和密钥文件的详细信息.例如,/ etc / bind / rndc.key(或/etc/named/rndc.key)应具有受限制的权限.