Dịch vụ phân giải systemd làm gì và có cần nghe trên tất cả các giao diện không? [đóng cửa]

Tôi đang làm việc trong một dự án liên quan đến một thiết bị IOT (Intel Galileo hiện không dùng nữa). Tôi đang xem xét việc làm cứng các thiết bị này và tôi nhận thấy rằng systemd-resolveddịch vụ đang lắng nghe trên tất cả các giao diện ( 0.0.0.0).

root@hostname:~# netstat -altnp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:5355            0.0.0.0:*               LISTEN      240/systemd-resolve

Sau khi đọc mô tả freedesktop.org của dịch vụ ở đây , nó nói rằng,

systemd-giải quyết là một dịch vụ hệ thống cung cấp độ phân giải tên mạng cho các ứng dụng cục bộ.

Tôi đã chạy một bài kiểm tra nơi tôi chạy pingđến google.comnơi systemd-resolvedđang chạy. Sau đó tôi vô hiệu hóa dịch vụ và gửi pingđến yahoo.com. Không có mất gói cho một trong hai yêu cầu.

Câu hỏi của tôi như sau:

Dịch vụ này đang làm gì?
Nếu nó đang cung cấp độ phân giải tên cho các ứng dụng cục bộ, tại sao nó lại nghe trên 0.0.0.0giao diện?
Đây có phải là một mối quan tâm an ninh?
Các tác động tiềm năng của việc vô hiệu hóa dịch vụ này là gì?

Cảm ơn trước cho bất kỳ thông tin / trợ giúp. Xin lỗi nếu tôi không tuân thủ định dạng câu hỏi, lần đầu tiên đăng bài. Vui lòng chỉnh sửa theo yêu cầu.

linux systemd

— jeeves
nguồn

Hiện tại có một vấn đề bảo mật với bộ giải quyết systemd và vì vậy tôi sẽ cập nhật các bản vá cho dịch vụ này và trong thời gian đó có thể vô hiệu hóa nó. Tùy chọn tốt nhất sẽ là tạo ra một giàn thử nghiệm và kiểm tra rằng mọi thứ hoạt động như mong đợi. Systemd-decver được thiết kế để liên lạc giữa các quá trình systemd nhưng nhiều ứng dụng cũ không được viết cho systemd và vì vậy sẽ không tham chiếu trình phân giải systemd.

— Raman sailopal

Cảm ơn đã trả lời @Raman. Chúng tôi đang trong quá trình thử nghiệm vô hiệu hóa. Tôi đã nhận thức được một khai thác được phát hành trên Ubuntu để giải quyết hệ thống. Cảm ơn một lần nữa

— jeeves

systemd-resolvedlà cần thiết bởi systemd. Trừ khi bạn đang cài đặt một trình phân giải DNS thay thế, bạn nên giữ nó.

Điều quan trọng cần lưu ý là thực sự đang lắng nghe các gói UDP 127.0.0.53:53để thực hiện phân giải DNS cho bạn:

# netstat -npa | grep systemd-resolve
tcp        0      0 0.0.0.0:5355            0.0.0.0:*               LISTEN      205/systemd-resolve
tcp6       0      0 :::5355                 :::*                    LISTEN      205/systemd-resolve
udp        0      0 127.0.0.53:53           0.0.0.0:*                           205/systemd-resolve
udp        0      0 0.0.0.0:5355            0.0.0.0:*                           205/systemd-resolve
udp6       0      0 :::5355                 :::*                                205/systemd-resolve

Các 5355ổ cắm cổng là để thực hiện Độ phân giải tên đa tuyến liên kết (LLMNR), một tính năng chỉ hữu ích trong mạng LAN.

Để vô hiệu hóa nó, chỉnh sửa /etc/systemd/resolved.confvà thay đổi dòng

#LLMNR=yes

đến

LLMNR=no

và sau đó khởi động lại dịch vụ với service systemd-resolved restartvà kiểm tra lại:

# netstat -npa | grep systemd-resolve
udp        0      0 127.0.0.53:53           0.0.0.0:*                           404/systemd-resolve

— Lex R
nguồn