12.4. Uso de rndc
BIND incluye una utilidad llamada rndc la cual permite la administración de línea de comandos del demonio named desde el host local o desde un host remoto.
Para prevenir el acceso no autorizado al demonio named, BIND utiliza un método de clave secreta compartida para otorgar privilegios a hosts. Esto significa que una clave idéntica debe estar presente en los archivos de configuración /etc/named.conf y en el rndc, /etc/rndc.conf.
12.4.1. Configuración de /etc/named.conf
Para que rndc se pueda conectar a un servicio named, debe haber una declaración controls en el archivo de configuración del servidor BIND /etc/named.conf.
La declaración controls mostrada abajo en el ejemplo permite a rndc conectarse desde un host local.
controls {
inet 127.0.0.1 allow { localhost; } keys { <key-name>; };
}; |
Esta declaración le dice a named que escuche en el puerto por defecto TCP 953 de la dirección loopback y que permita comandos rndc provenientes del host local, si se proporciona la clave correcta. El valor <key-name> se relaciona con la declaración key, la cual esta también en el archivo /etc/named.conf. El ejemplo siguiente ilustra la declaración key.
key "<key-name>" {
algorithm hmac-md5;
secret "<key-value>";
}; |
En este caso, el <key-value> es una clave HMAC-MD5. Use el comando siguiente para generar claves HMAC-MD5:
dnssec-keygen -a hmac-md5 -b <bit-length> -n HOST <key-file-name> |
Una clave con al menos un largo de 256-bit es una buena idea. La clave actual debería ser colocada en el área <key-value> se puede encontrar en <key-file-name>.
 | Atención | |
|---|---|---|
Debido a que /etc/named.conf está accesible a todo el mundo, es una buena idea colocarlo en la declaración key en un archivo separado que sólo esté accesible por root y luego utilizar una declaración include para referenciarlo, como se muestra en el ejemplo siguiente:
|
12.4.2. Configuración de /etc/rndc.conf
La declaración key es la más importante en /etc/rndc.conf.
key "<key-name>" {
algorithm hmac-md5;
secret "<key-value>";
}; |
<key-name> y <key-value> deberían ser exáctamente los mismos que sus configuraciones en /etc/named.conf.
Para coincidir las claves especificadas en el archivo de configuración del servidor objetivo /etc/named.conf, agregue las líneas siguientes a /etc/rndc.conf.
options {
default-server localhost;
default-key "<key-name>";
}; |
Este comando configura una clave global por defecto. Sin embargo, el comando rndc también puede usar claves diferentes para servidores diferentes, como en el ejemplo siguiente:
server localhost {
key "<key-name>";
}; |
| Atención |
|---|---|
Asegúrese de que sólo el usuario root pueda leer y escribir al archivo /etc/rndc.conf. |
12.4.3. Opciones de línea de comandos
Un comando rndc toma la forma siguiente:
rndc <options> <command> <command-options> |
Cuando esté ejecutando rndc en una máquina local configurada de la forma correcta, los comandos siguientes están disponibles:
halt — Para inmediatamente el servicio named.
querylog — Registra todas las peticiones hechas a este servidor de nombres.
refresh — Refresca la base de datos del servidor de nombres.
reload — Recarga los archivos de zona pero mantiene todas las respuestas precedentes situadas en caché. Esto le permite realizar cambios en los archivos de zona sin perder todas las resoluciones de nombres almacenadas.
Si los cambios sólo afectaron una zona específica, vuelva a cargar una zona añadiendo el nombre de la zona después del comando reload.
stats — Descarga las estadísticas actuales de named al archivo /var/named/named.stats.
stop — Detiene al servidor salvando todas las actualizaciones dinámicas y los datos de las Transferencias de zona incremental (IXFR) antes de salir.
Ocasionalmente, puede ser necesario ignorar las configuraciones por defecto en el archivo /etc/rndc.conf. Estan disponibles las siguientes opciones:
-c <configuration-file> — Le dice a rndc que use un archivo de configuración diferente a /etc/rndc.conf.
-p <port-number> — Especifica la utilización de un número de puerto diferente del predeterminado 953 para la conexión del comando rndc.
-s <server> — Dice a rndc que envie el comando a un servidor distinto al default-server especificado en su archivo de configuración.
-y <key-name> — Le permite especificar una clave distinta de la opción default-key en el archivo /etc/rndc.conf.
Se puede encontrar información adicional sobre estas opciones en la página del manual de rndc.