Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux Rerenzhandbuch- Die Verwendung von rndc

12.4. Die Verwendung von rndc

BIND enth�lt das Utility rndc, mit dem Sie den named-Daemon �ber die Befehlszeile vom lokalen und von einem Remote Host verwalten k�nnen.

Um zu verhindern, dass nicht authorisierte Benutzer Zugriff zum named-Daemon erlangen, verwendet BIND eine Authentifizierungsmethode, auf einem gemeinsamen geheimen Schl�ssel basierend, um Hostsystemen den Zugriff zu gew�hren. Das heisst, das ein �bereinstimmender Schl�ssel in /etc/named.conf und der rndc Konfigurationsdatei /etc/rndc.conf existieren muss.

12.4.1. Konfigurieren von /etc/named.conf

Um die Verbindung von rndczu Ihrem named-Dienst zu erm�glichen, muss beim Start von named die controls-Anweisung in Ihrer /etc/named.conf-Datei vorhanden sein.

Das folgende Beispiel einer controls-Anweisung erm�glicht es Ihnen, rndc-Befehle vom lokalen Host auszuf�hren.

controls {
  inet 127.0.0.1 allow { localhost; } keys { <key-name>; };
};

Diese Anweisung weist named an, am standardm��igen TCP-Port 953 nach Loopback-Adressen zu suchen und l�sst rndc-Befehle zu, die vom lokalen Host ausgef�hrt werden, wenn der richtige Schl�ssel angegeben wird. Der <key-name> bezieht sich auf die key-Direktive, die sich auch in der /etc/named.conf-Datei befindet. Im n�chsten Beispiel wird eine key-Anweisung veranschaulicht.

key "<key-name>" {
  algorithm hmac-md5;
  secret "<key-value>";
};

In diesem Beispiel benutzt <key-value> einen HMAC-MD5-Algorithmus. Mit dem nachfolgenden Befehl k�nnen Sie Ihre eigenen Schl�ssel unter Verwendung eines HMAC-MD5-Algorithmus erstellen:

dnssec-keygen -a hmac-md5 -b <bit-length> -n HOST <key-file-name>

Es empfiehlt sich, einen Schl�ssel mit einer Gr��e von mindestens 256 Bit zu erstellen. Der Schl�ssel, der im <key-value>-Bereich gespeichert werden sollte, kann in der Datei <key-file-name>, welche von diesem Befehl erzeugt wurde, gefunden werden.

WarnungWarnung
 

Da /etc/named.conf von jedem gelesen werden kann, ist es angeraten, das key-Statement in eine separate Datei auszulagern, welche nur von root gelesen werden kann und ein include-Statement zu verwenden, um diese Datei einzubinden. Zum Beispiel:

include "/etc/rndc.key";

12.4.2. Konfigurieren von /etc/rndc.conf

Die key-Anweisung ist die wichtigste in der Datei /etc/rndc.conf.

key "<key-name>" {
  algorithm hmac-md5;
  secret "<key-value>";
};

<key-name> und <key-value> sollten exakt mit den Einstellungen in /etc/named.conf �bereinstimmen.

Um den Schl�sseln, welche in /etc/named.conf auf dem Ziel-Server angegeben sind, zu entsprechen, f�gen Sie folgende Zeilen zu /etc/rndc.conf hinzu.

options {
  default-server  localhost;
  default-key     "<key-name>";
};

Diese Anweisung setzt den globalen Default-Schl�ssel. Dierndc Konfigurationsdatei kann allerdings auch verschiedene Schl�ssel f�r verschiedene Server verwenden, wie im folgenden Beispiel gezeigt:

server localhost {
  key  "<key-name>";
};

AchtungAchtung
 

Stellen Sie sicher, dass jeweils nur ein root-Benutzer auf die Datei /etc/rndc.conf zugreifen kann.

F�r weitere Informationen zur Datei /etc/rndc.conf, siehe die rndc.conf man-Seiten.

12.4.3. Befehlszeilenoptionen

Ein rndc-Befehl sieht wie folgt aus:

rndc <options> <command> <command-options>

Wenn rndc auf einem korrekt konfigurierten lokalen Host ausgef�hrt wird, stehen Ihnen folgende Befehle zur Verf�gung:

  • halt — H�lt den named-Service sofort an.

  • querylog — Protokolliert alle Abfragen, die von Clients auf diesem Name-Server durchgef�hrt wurden.

  • refresh — Aktualisiert die Datenbank des Nameservers.

  • reload — Weist den Name-Server an, die Zone-Dateien neu zu laden, aber alle vorher verarbeiteten Antworten zu behalten. Dadurch k�nnen Sie �nderungen in den Zone-Dateien durchf�hren, ohne dass die gespeicherten Aufl�sungen von Namen verloren gehen.

    Wenn sich Ihre �nderungen nur auf eine bestimmte Zone auswirken, k�nnen Sie lediglich diese Zone neu laden. Geben Sie hierzu nach dem reload-Befehl den Namen der Zone ein.

  • stats — Schreibt die aktuellen named-Statistiken in die Datei /var/named/named.stats.

  • stop — Stoppt den Server vorsichtig, und speichert dabei alle dynamischen Updates und die vorhandenen Incremental Zone Transfers (IXFR) Daten, vor dem Beenden.

Gelegentlich werden Sie bestimmt auch die Standardeinstellungen in der /etc/rndc.conf-Datei �bergehen wollen. Hierzu stehen Ihnen folgende Optionen zur Verf�gung:

  • -c <configuration-file> — Gibt einen alternativen Speicherort der Konfigurationsdatei an.

  • -p <port-number> — Legt f�r die rndc-Verbindung eine andere als die standardm��ige Portnummer 953 fest.

  • -s <server> — Erm�glicht es Ihnen, einen anderen als den default-server in /etc/rndc.conf anzugeben.

  • -y <key-name> — Erm�glicht es Ihnen, einen anderen als den default-key in der /etc/rndc.conf-Datei einzustellen.

Zus�tzliche Informationen zu diesen Optionen finden Sie auf der rndc-man-Seite

 
 
  Published under the terms of the GNU General Public License Design by Interspire