Что делает служба с разрешением systemd и должна ли она прослушивать все интерфейсы? [закрыто]

Закрыто . Этот вопрос должен быть более сфокусированным . В настоящее время он не принимает ответы.

Хотите улучшить этот вопрос? Обновите вопрос, чтобы он был сосредоточен только на одной проблеме, отредактировав этот пост .

Закрыто 2 месяца назад .

Я работаю над проектом, который включает устройство IOT (ныне устаревшее Intel Galileo). Я смотрю на усиление этих устройств, и я заметил, что systemd-resolvedслужба прослушивает все интерфейсы ( 0.0.0.0).

root@hostname:~# netstat -altnp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:5355            0.0.0.0:*               LISTEN      240/systemd-resolve

После прочтения описания сервиса freedesktop.org, здесь говорится, что

systemd-resolved - это системная служба, которая обеспечивает разрешение сетевых имен локальным приложениям.

Я провел тест, где я побежал pingтуда, google.comгде systemd-resolvedбегал. Затем я отключил услугу , и послал pingк yahoo.com. Не было потери пакетов ни по одному запросу.

Мой вопрос (ы) заключаются в следующем:

Что делает этот сервис?
Если он предоставляет разрешение имен локальным приложениям, почему он прослушивает 0.0.0.0интерфейс?
Это проблема безопасности?
Каковы потенциальные последствия отключения этой услуги?

Заранее спасибо за любую информацию / помощь. Извиняюсь, если я не выполнил вопрос формата, первый пост. Пожалуйста, отредактируйте по мере необходимости.

linux systemd

— Дживс
источник

В настоящее время существует проблема безопасности с systemd-resolver, и поэтому я бы следил за обновлениями исправлений для этой службы, а пока отключить это возможно. Лучшим вариантом было бы создать тестовую установку и проверить, что все работает как положено. Systemd-resolver разработан для взаимодействия между процессами systemd, но многие устаревшие приложения не были написаны для systemd и поэтому не будут ссылаться на systemd-resolver.

— Раман Sailopal

Спасибо за ответ @ Раман. Мы находимся в процессе тестирования отключения. Я знал об эксплойте, выпущенном в Ubuntu по отношению к systemd-resolved.

— Еще

systemd-resolvedнужен systemd. Если вы не устанавливаете альтернативный преобразователь DNS, вы должны сохранить его.

Важно отметить, что на самом деле он прослушивает UDP-пакеты, 127.0.0.53:53чтобы выполнить разрешение DNS для вас:

# netstat -npa | grep systemd-resolve
tcp        0      0 0.0.0.0:5355            0.0.0.0:*               LISTEN      205/systemd-resolve
tcp6       0      0 :::5355                 :::*                    LISTEN      205/systemd-resolve
udp        0      0 127.0.0.53:53           0.0.0.0:*                           205/systemd-resolve
udp        0      0 0.0.0.0:5355            0.0.0.0:*                           205/systemd-resolve
udp6       0      0 :::5355                 :::*                                205/systemd-resolve

5355Разъемы портов предназначены для реализации разрешения многоадресного имени канала (LLMNR), которое полезно только в локальных сетях.

Чтобы отключить его, отредактируйте /etc/systemd/resolved.confи измените строку

#LLMNR=yes

LLMNR=no

а затем перезапустите службу service systemd-resolved restartи проверьте еще раз:

# netstat -npa | grep systemd-resolve
udp        0      0 127.0.0.53:53           0.0.0.0:*                           404/systemd-resolve

— Lex R
источник