12.4. Uso di rndc

BIND dispone di un'utility chiamata rndc che vi consente di amministrare il demone named in modo locale o remoto tramite istruzioni dalla linea di comando.

Per impedire l'accesso non autorizzato al demone named, BIND usa un metodo di autenticazione a chiave segreta condivisa per garantire i privilegi a determinati host. Ció significa che una chiave identica deve essere presente in entrambi i file di configurazione /etc/named.conf e /etc/rndc.conf di rndc.

12.4.1. Configurazione di /etc/named.conf

Per consentire a rndc di connettersi al servizio named, è necessario disporre dell'istruzionecontrols nel proprio file /etc/named.conf.

L'istruzione controls, riportata nel seguente esempio, permette a rndc di collegarsi dal localhost.

controls {
  inet 127.0.0.1 allow { localhost; } keys { <key-name>; };
};

Questa istruzione indica a named di ascoltare sulla porta TCP 953 di default dell'indirizzo di loopback e abilita i comandi rndc provenienti dall'host locale, su corretta indicazione della chiave. Il <nome-chiave> specifica un nome nell'istruzione key all'interno del file /etc/named.conf. L'esempio successivo mostra l'istruzione key.

key "<key-name>" {
  algorithm hmac-md5;
  secret "<key-value>";
};

In questo caso, il <valore-chiave> usa l'algoritmo MD5. Usate il seguente comando per generare le vostre chiavi usando l'algoritmo HMAC-MD5:

dnssec-keygen -a hmac-md5 -b <bit-length> -n HOST <key-file-name>

È consigliabile una chiave con una lunghezza minima di 256 bit. La chiave effettiva da inserire nell'area <valore-chiave> si trova nel file <nome-file-chiave> generato da questo comando.

AttenzioneAvvertenza
 

Perché /etc/named.conf viene letto da tutto il mondo, é consigliabile posizionare l'istruzione key in un file separato leggibile solo da un utente root e poi usare un commento include per effettuare un riferimento, come riportato nel seguente esempio:

include "/etc/rndc.key";

12.4.2. Configurazione di /etc/rndc.conf

key é l'istruzione piú importante contenuta nel file /etc/rndc.conf.

key "<key-name>" {
  algorithm hmac-md5;
  secret "<key-value>";
};

Il <nome-chiave> e il <valore-chiave> devono avere le stesse impostazioni indicate nel file /etc/named.conf.

Per mettere insieme le chiavi specificate nel file /etc/named.conf del server, aggiungere le seguenti righe a /etc/rndc.conf.

options {
  default-server  localhost;
  default-key     "<key-name>";
};

Questa direttiva imposta la chiave di default globale. Tuttavia il file di configurazione rndc puó specificare chiavi diverse per server diversi, come nell'esempio riportato:

server localhost {
  key  "<key-name>";
};

CautelaAvvertenza
 

Assicurarsi che solo un utente root possa leggere o scrivere sul file /etc/rndc.conf.

Per maggiori informazioni sul file /etc/rndc.conf, controllare la pagina man di rndc.conf.

12.4.3. Opzioni della linea di comando

Un comando rndc ha la seguente forma:

rndc <options> <command> <command-options>

Quando si esegue rndc in un host locale configurato in modo corretto, è possibile utilizzare i seguenti comandi:

Se desiderate annullare le impostazioni predefinite nel file /etc/rndc.conf, sono disponibili le seguenti opzioni:

Per ulteriori informazioni su queste opzioni, consultate la pagina man di rndc.