Sicherheit des BIND8/9

[fred2]

Habe nun Bind9 installiert und seitdem gibts 2 Prozesse im Speicher:

named : 53
named : 953

Brauchen diese beiden Prozesse Kontakt zur Aussenwelt? Kann ich diese nur meine IpTable abschotten?

Ist es eine Sicherheitslücke wenn diese 2 Ports ungeschützt sind?

[kase]

also Port 53 würde ich nicht dicht machen, sonst brauchst du auch keinen NameServer. :D

Was mit Port 953 ist, weiß ich gerade nicht, ich glaub bei mir nutzt named nur Port 53...

[nyxus]

Was mit Port 953 ist, weiß ich gerade nicht, ich glaub bei mir nutzt named nur Port 53...

953 war zur Steuerung des BIND und wird IMHO defaut nur an localhost gebunden.


Gruß, Nyx

[m18]

Das heißt den 953 kannst du dicht machen, den 53er solltest wie gesagt offen lassen, es sei denn du willst nicht das dein DNS Server von außen erreichbar ist :) allerdings würd ich mich dann fragen wieso du ihn aufgesetzt hast!?

[flo]

gemach ... über den control port kannst Du einiges mehr mahcen außer rumblödeln - Server (Neu-)Start ist so möglich, und das ganze auch über Schlüssel abgesichert ...

Ich nutze es nicht, aber manche Leute finden das rehct praktisch.

Grüße,

flo.

[Anonymous]

Für rndc brauchst Du den 953er-Port.

Wenn Du den dicht machst, musst Du bei jeder Ã?nderung der Zone-Files BIND komplett neu starten, anstatt beispielsweise mit "rndc refresh ..." einzelne Domains updaten zu können.
Damit verliert BIND dann auch jedesmal den Inhalt des kompletten Caches.

Bei wenigen Domains sicherlich egal, in größerem Umfeld mit vielen Zugriffen auf BIND sollte man jedoch überlegen, ob man jedes Mal nen Neustart machen will, wenn sich nur eine Subdomain oder ähnliches ändert.

[m18]

Ja aber selbst wenn er den Port braucht kann er ihn doch nach außen dicht machen, den Befehl führt er doch von localhost aus aus?