Ligar e abrir portas

Navegue suas respostas
4

Eu instalei recentemente o Bind em uma caixa do CentOS. Tudo parece estar funcionando apenas com a porta 53 aberta. No entanto, notei no arquivo de configuração que existe uma linha no rndc.conf que diz "default-port 953;" Eu não tenho porta 953 aberta e Bind parece estar funcionando. Posso manter o 953 fechado? Qual é o ponto de ouvir RNDC em 953?

    
por smusumeche 20.12.2010 / 05:33

3 respostas

4

O que isso imprime? 

$ sudo netstat -ntlp | grep ':953\>'

Deve imprimir algo como: 

tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN      1234/named

ou isto se você tiver o IPv6 ativado: 

tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN      1234/named
tcp        0      0 ::1:953                 :::*                    LISTEN      1234/named

Como ele usa apenas o endereço de loopback, a porta só é acessível a usuários conectados ao próprio servidor, e não a partir de outro lugar na rede.

O rndc é usado para gerenciar o servidor de nomes, por exemplo, "rndc reload" é a maneira preferida de dizer ao BIND que você alterou um arquivo de zona e deve recarregá-lo.

No meu servidor Debian (não tenho certeza sobre o CentOS) também é necessário /etc/init.d/bind9 para iniciar e parar o serviço. Eu acho que o CentOS chama esse arquivo /etc/init.d/named. Eu não desabilitá-lo ou bloqueá-lo sem verificar como esse script funciona primeiro.

A lista completa de comandos que você pode executar está no Manual de Referência do Administrador do BIND 9 - Ferramentas Administrativas .

Por que ele usa uma porta TCP, execute "man rndc" para os detalhes: 

   rndc communicates with the name server over a TCP connection, sending
   commands authenticated with digital signatures. In the current versions
   of rndc and named, the only supported authentication algorithm is
   HMAC-MD5, which uses a shared secret on each end of the connection.
   This provides TSIG-style authentication for the command request and the
   name server’s response. All commands sent over the channel must be
   signed by a key_id known to the server.

   rndc reads a configuration file to determine how to contact the name
   server and decide what algorithm and key it should use.

Portanto, se você quiser protegê-lo, consulte os detalhes da chave e do arquivo-chave. Por exemplo, /etc/bind/rndc.key (ou /etc/named/rndc.key) deve ter permissões restritas.

    
por 20.12.2010 / 06:23
4

RNDC é a porta de administração remota. Não abra para o mundo exterior. A menos que você use o utilitário rndc, não é necessário que esta porta seja aberta, você pode seguramente desativá-lo.

O Bind precisa do UDP 53 para atender a solicitações normais. Você também deve abrir o TCP 53 se (e somente se) este servidor for o principal de uma zona e um servidor secundário precisar ser transferido dele.

    
por 20.12.2010 / 05:36
0

Normalmente, não há necessidade de encaminhar solicitações para a porta 953 em seus firewalls de borda, mas é proveitoso mantê-la aberta no servidor DNS como um serviço local (obviamente, se você tiver acesso ssh a esse servidor). O rndc configurado adequadamente é uma ótima ferramenta para gerenciar o nome.

    
por 20.12.2010 / 08:30

Tags

OpenLDAP ACL para permitir que os usuários alterem suas senhas Obtenha o tamanho exato em bytes de um disco e partições no Windows