Назад | Перейти на главную страницу

почему bind9 дает отказ в соединении для ошибки отказа в разрешении, когда это 777

Эти вопросы не помогли:

https://askubuntu.com/questions/172030/how-to-allow-bind-in-app-armor
Не удается запустить BIND9

Я хотел начать bind9 и увидел, что в разрешении отказано в syslog как показано ниже:

Feb  8 09:37:24 aname named[27278]: automatic empty zone: A.E.F.IP6.ARPA
Feb  8 09:37:24 aname named[27278]: automatic empty zone: B.E.F.IP6.ARPA
Feb  8 09:37:24 aname named[27278]: automatic empty zone: 8.B.D.0.1.0.0.2.IP6.ARPA
Feb  8 09:37:24 aname named[27278]: command channel listening on 127.0.0.1#953
Feb  8 09:37:24 aname named[27278]: command channel listening on ::1#953
Feb  8 09:37:24 aname named[27278]: isc_stdio_open '/var/log/bind9/query.log' failed: permission denied
Feb  8 09:37:24 aname named[27278]: configuring logging: permission denied
Feb  8 09:37:24 aname named[27278]: loading configuration: permission denied
Feb  8 09:37:24 aname named[27278]: exiting (due to fatal error)
Feb  8 09:37:24 aname kernel: [1984823.682079] type=1400 audit(1454924244.439:45): apparmor="DENIED" operation="open" profile="/usr/sbin/named" name="/var/log/bind9/query.log" pid=27279 comm="named" requested_mask="c" denied_mask="c" fsuid=109 ouid=0

Почему это дает permission error когда это 777?

Я подумал, может это из-за zones каталог, поэтому я тоже его проверил:

4 drwxr-sr-x  2 root root 4096 Feb  7 18:45 zones

Я проверил файлы зон /usr/sbin/named-checkconf но на терминале нет ошибки.

содержание bind9:

4 -rw-r--r--  1 root root 2389 Jan 18 14:04 bind.keys
4 -rw-r--r--  1 root root  237 Jan 18 14:04 db.0
4 -rw-r--r--  1 root root  271 Jan 18 14:04 db.127
4 -rw-r--r--  1 root root  237 Jan 18 14:04 db.255
4 -rw-r--r--  1 root root  353 Jan 18 14:04 db.empty
4 -rw-r--r--  1 root root  270 Jan 18 14:04 db.local
4 -rw-r--r--  1 root root 3048 Jan 18 14:04 db.root
4 -rw-r--r--  1 root bind  464 Feb  7 17:56 named.conf
4 -rw-r--r--  1 root bind  490 Jan 18 14:04 named.conf.default-zones
4 -rw-r--r--  1 root bind  333 Feb  7 18:47 named.conf.local
4 -rw-r--r--  1 root bind  455 Feb  7 18:33 named.conf.options
4 -rw-r--r--  1 root bind  890 Feb  7 13:22 named.conf.options.bak
4 -rw-r-----  1 bind bind   77 Feb  7 13:22 rndc.key
4 drwxr-sr-x  2 root root 4096 Feb  7 18:45 zones
4 -rw-r--r--  1 root root 1317 Jan 18 14:04 zones.rfc1918

РЕДАКТИРОВАТЬ 2:

ls -las /var/lib/bind/ вывод:

4 -rw-r--r--  1 root root   53 Feb  7 13:22 bind9-default.md5sum

РЕДАКТИРОВАТЬ 3:
у меня есть apparmor, это беспорядок с разрешениями файлов?

Этот вопрос почти решил мою проблему:
https://askubuntu.com/questions/469866/bind-fatal-error-cant-open-custom-log

Некоторых каталогов не было, поэтому я их создал. И путь в named.conf.options был неправильным, я исправил их, чтобы указать на существующий файл.

Задача решена!

У вас есть ошибка прямо в вашем выводе:

Feb  8 09:37:24 aname kernel: [1984823.682079] type=1400 audit(1454924244.439:45): apparmor="DENIED" operation="open" profile="/usr/sbin/named" name="/var/log/bind9/query.log" pid=27279 comm="named" requested_mask="c" denied_mask="c" fsuid=109 ouid=0

Добавить

/var/log/bind9/query.log rw,

Станца к /etc/apparmor.d/usr.sbin.named, перезапустите apparmor и привяжите службы, и все готово.

И восстановите разрешения файловой системы в файл журнала.

Я просто отключил и удалил apparmor https://support.plesk.com/hc/en-us/articles/213909965-How-to-disable-AppArmor-

Просто измените владельца файла:

chown bind:bind /var/log/bind9/query.log