named.conf和rndc.key应该只能通过根访问吗？

Question

参考CentOS / RedHat关于绑定的指南，它说.

因为/etc/named.conf具有世界可读性，所以建议将键语句放在单独的文件中，仅由根用户读取，然后使用include语句引用它。

还有下面的..。

确保只有根用户可以读取或写入/etc/rndc.conf文件。

现在，当我用以下命令做这件事时.

chown root:root /etc/rndc.key
chmod 600 /etc/rndc.key
chown root:root /etc/rndc.conf
chmod 600 /etc/rndc.conf

我无法启动绑定，因为它会在/var/log/messages文件中抱怨如下.

loading configuration from '/etc/named.conf'
/etc/named.conf:1: open: /etc/rndc.key: permission denied

为了纠正，我现在正在做以下工作，BIND可以开始.

chown root:named /etc/rndc.key
chmod 640 /etc/rndc.key
chown root:named /etc/rndc.conf
chmod 640 /etc/rndc.conf
Now is that an error in the manual?

Answer 1

这里的要点是，没有任何非特权用户能够读取该文件。

如果您以指定的用户身份运行BIND，那么他将需要访问它。

您还应该能够设置：

chown named:root /etc/rndc.key
chmod 600 /etc/rndc.key

但是，您的权限并不是更糟(也请参见：https://access.redhat.com/site/documentation/en-US/Red_帽子_企业_Linux/6/html/部署_指南/s2-绑定-rndc.html)。

不相关的提示:通常，我也会建议在chroot中运行BIND。

有CentOS/RedHat软件包支持这一点(bind-chroot)。