BIND utiliza un método de autenticación para prevenir el acceso al demonio named. Dicho método se basa en el rndc, la utilidad de control del servidor de nombres.

La información en detalle se encuentra en BIND, así que aquí incluyo únicamente la forma de como configurarlo para que BIND funcione correctamente.

  • Ejecutaremos el comando rndc-confgen configurando un tamaño de la clave de 512 bits (por defecto si no ponemos el parámetro -b serían 128).

[root@ap1]$ rndc-confgen -b 512
# Start of rndc.conf
key “rndc-key” {
algorithm hmac-md5;
secret “fuRNjgIAmzSsjZ1ui5jc8hwar3lfXlOT8l6x3lYYoYl/IXWvtoD2fKM/rmmLIjk6GYZkn219i2NUcawff1N3UQ==”;
};

options {
default-key “rndc-key”;
default-server 127.0.0.1;
default-port 953;
};
# End of rndc.conf

# Use with the following in named.conf, adjusting the allow list as needed:
# key “rndc-key” {
#       algorithm hmac-md5;
#       secret “fuRNjgIAmzSsjZ1ui5jc8hwar3lfXlOT8l6x3lYYoYl/IXWvtoD2fKM/rmmLIjk6GYZkn219i2NUcawff1N3UQ==”;
# };
#
# controls {
#       inet 127.0.0.1 port 953
#               allow { 127.0.0.1; } keys { “rndc-key”; };
# };
# End of named.conf

  • Podríamos copiar el contenido que nos ha salido en el archivo de configuración de BIND (normalmente /etc/named.conf), pero como el named.conf suele poder leerlo cualquiera, mejor incluiremos en named.conf una llamada tipo include:

include “/etc/rndc.key”;

  • Y será en /etc/rndc.key donde estará el contenido anterior, asegurándonos que el archivo sólo tenga permisos de root:

[root@ap1]$ ls -la /etc/rndc.key
-rw——- 1 root root 77 Feb 23  2007 /etc/rndc.key