LINUX.ORG.RU
решено ФорумAdmin

rndc remote control

 


0

1

Доброго времени суток.
Интересует удаленное управление named с помощью rndc.
Изучил ftp://ftp.isc.org/isc/bind9/cur/9.10/doc/arm/man.rndc.html
ftp://ftp.isc.org/isc/bind9/cur/9.10/doc/arm/man.rndc.conf.html
ftp://ftp.isc.org/isc/bind9/cur/9.10/doc/arm/man.rndc-confgen.html
В общем принцип понятен, но есть несколько неясностей:
1. -b source-address - означает лишь адрес интерфейса с которого будет отослана команда?
2. Что все-таки такое key_id, указания key file не достаточно?
3. При использовании rndc-confgen с ключами для недефолтной настройки (т.е. без опции -a) в качестве -k (keyname) указано что нужно ввести валидное доменное имя, а имя ключа по умолчанию rndc-key. Я так понимаю это необходимо, только если потом не буду добавлять пункты addresses?
4. rndc-confgen -r (randomfile)

Specifies a source of random data for generating the authorization. If the operating system does not provide a /dev/random or equivalent device, the default source of randomness is keyboard input. randomdev specifies the name of a character device or file containing random data to be used instead of the default. The special value keyboard indicates that keyboard input should be used.

честно говоря вообще не понял что такое и с чем есть.
5. Ну и если перейти к самой практике, каким образом лучше действовать? Во многих примерах люди используют rndc-confgen без каких либо примеров, а потом руками вносят исправления. Но как тогда генерировать эти самые ключи? Вот здесь https://subhrajitnandy.wordpress.com/configuring-rndc/ вообще используется dnssec-keygen.
Спасибо заранее.

Попробовал использовать rndc-confgen без опций и аргументов, и он даже не создал rndc.conf, хотя вывод такой сделал:

# Start of rndc.conf
key "rndc-key" {
        algorithm hmac-md5;
        secret "pQ2q5v8IuUlFrCmIY2wX8Q==";
};

options {
        default-key "rndc-key";
        default-server 127.0.0.1;
        default-port 953;
};
# End of rndc.conf

# Use with the following in named.conf, adjusting the allow list as needed:
# key "rndc-key" {
#       algorithm hmac-md5;
#       secret "pQ2q5v8IuUlFrCmIY2wX8Q==";
# };
#
# controls {
#       inet 127.0.0.1 port 953
#               allow { 127.0.0.1; } keys { "rndc-key"; };
# };
# End of named.conf

nokogerra ()
Ответ на: комментарий от nokogerra

Ларчик просто открывался, просто я не очень внимательно читал, проблема решена. Единственное что меня смущает, это правильно ли то, что я использую key_id (определенные в rndc.conf в виде key bla-bla {...};, где bla-bla и есть key_id) вместо реальных ключей.

nokogerra ()
Ответ на: комментарий от trancefer

Да, такой вариант я даже не рассматривал, видимо из-за того, что опыта работы с *nix системами практически нет. Спасибо за совет. Однако, раз теперь работает на уровне rndc, думаю буду использовать именно rndc с аргументами.

nokogerra ()
Ответ на: комментарий от trancefer

Да, в справке так и написано, только для аутентификации.

nokogerra ()
Ответ на: комментарий от nokogerra

Это адрес который будет использовать rndc при подключении к BIND. Т.е. если вы укажите например -b 10.1.1.1 то BIND будет считать что идет подключение именно с 10.1.1.1. Данная опция имеет смысл в том случае если на машине с которой вы подключаетесь rndc висит несколько IP.

trancefer ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.