Что делает служба с разрешением systemd и должна ли она прослушивать все интерфейсы? [закрыто]

11

Я работаю над проектом, который включает устройство IOT (ныне устаревшее Intel Galileo). Я смотрю на усиление этих устройств, и я заметил, что systemd-resolvedслужба прослушивает все интерфейсы ( 0.0.0.0).

root@hostname:~# netstat -altnp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:5355            0.0.0.0:*               LISTEN      240/systemd-resolve

После прочтения описания сервиса freedesktop.org, здесь говорится, что

systemd-resolved - это системная служба, которая обеспечивает разрешение сетевых имен локальным приложениям.

Я провел тест, где я побежал pingтуда, google.comгде systemd-resolvedбегал. Затем я отключил услугу , и послал pingк yahoo.com. Не было потери пакетов ни по одному запросу.

Мой вопрос (ы) заключаются в следующем:

  1. Что делает этот сервис?

  2. Если он предоставляет разрешение имен локальным приложениям, почему он прослушивает 0.0.0.0интерфейс?

  3. Это проблема безопасности?

  4. Каковы потенциальные последствия отключения этой услуги?

Заранее спасибо за любую информацию / помощь. Извиняюсь, если я не выполнил вопрос формата, первый пост. Пожалуйста, отредактируйте по мере необходимости.

linux systemd Дживс
источник
В настоящее время существует проблема безопасности с systemd-resolver, и поэтому я бы следил за обновлениями исправлений для этой службы, а пока отключить это возможно. Лучшим вариантом было бы создать тестовую установку и проверить, что все работает как положено. Systemd-resolver разработан для взаимодействия между процессами systemd, но многие устаревшие приложения не были написаны для systemd и поэтому не будут ссылаться на systemd-resolver.
Раман Sailopal
1
Спасибо за ответ @ Раман. Мы находимся в процессе тестирования отключения. Я знал об эксплойте, выпущенном в Ubuntu по отношению к systemd-resolved.
Еще

Ответы:

11

systemd-resolvedнужен systemd. Если вы не устанавливаете альтернативный преобразователь DNS, вы должны сохранить его.

Важно отметить, что на самом деле он прослушивает UDP-пакеты, 127.0.0.53:53чтобы выполнить разрешение DNS для вас:

# netstat -npa | grep systemd-resolve
tcp        0      0 0.0.0.0:5355            0.0.0.0:*               LISTEN      205/systemd-resolve
tcp6       0      0 :::5355                 :::*                    LISTEN      205/systemd-resolve
udp        0      0 127.0.0.53:53           0.0.0.0:*                           205/systemd-resolve
udp        0      0 0.0.0.0:5355            0.0.0.0:*                           205/systemd-resolve
udp6       0      0 :::5355                 :::*                                205/systemd-resolve

5355Разъемы портов предназначены для реализации разрешения многоадресного имени канала (LLMNR), которое полезно только в локальных сетях.

Чтобы отключить его, отредактируйте /etc/systemd/resolved.confи измените строку

#LLMNR=yes

в

LLMNR=no

а затем перезапустите службу service systemd-resolved restartи проверьте еще раз:

# netstat -npa | grep systemd-resolve
udp        0      0 127.0.0.53:53           0.0.0.0:*                           404/systemd-resolve
Lex R
источник