Назад | Перейти на главную страницу

Настройка ведения журнала bind9 9.7.3: без ограничений по размеру, без подкачки файлов

bind настроен на ограничение размера файла журнала до 2 м и добавление до 3 версий файлов журнала. Во время тестирования этого сервера привязки обнаружилось, что привязка не прекращает регистрацию, если размер файла превышает 2 м. Во время тестирования этого сервера привязки обнаружилось, что привязка не добавляет, например. «bind.log.1», «bind.log.2» и т. д. после перезапуска привязки.

Кто-нибудь может мне в этом помочь?

ОС / Программное обеспечение: Bind9 9.7.3 на Debian Squeeze

named.conf:

[...]
include "/etc/bind/named.conf.log";

named.conf.log:

logging {
    channel update_debug {
            file "/var/log/bind/update_debug.log" versions 3 size 2m;
            severity debug;
            print-severity  yes;
            print-time      yes;
    };
    channel security_info {
            file "/var/log/bind/security_info.log" versions 3 size 2m;
            severity notice;
            print-severity  yes;
            print-time      yes;
    };
    channel bind_log {
            file "/var/log/bind/bind.log" versions 3 size 2m;
            severity info;
            print-category  yes;
            print-severity  yes;
            print-time      yes;
    };

    category default { bind_log; };
    category lame-servers { null; };
    category update { update_debug; };
    category update-security { update_debug; };
    category security { security_info; };
};

#ls -la / var / log / bind /:

root@ns1:/var/log/bind# ls -la
total 72
drwxrwxr-x 2 root bind  4096 Sep 16 11:52 .
drwxr-xr-x 9 root root  4096 Sep 16 11:45 ..
-rwxrwxr-- 1 root bind 56236 Sep 16 13:56 bind.log
-rwxrwxr-- 1 root bind     0 Sep 16 11:52 lame_info.log
-rwxrwxr-- 1 root bind   105 Sep 16 13:42 security_info.log
-rwxrwxr-- 1 root bind     0 Sep 16 11:52 update_debug.log

Предполагая следующее:

  • Bind9 работает на Debian и
  • Bind9's named вбегает демонbind'идентификатор владельца Unix
  • Ключи DNS защищены под bind группа.

Я использую следующие права собственности на файлы:

chown -R root:bind /etc/bind
chown    root:bind /var/lib/bind
chown -R bind:bind /var/lib/bind/*
chown -R root:bind /var/cache/bind # always filled with bind:bind ownership
chown -R bind:bind /var/log/bind # files are written from bind user

Затем я ограничиваю права доступа к файлам так, чтобы:

chmod 2750 /etc/bind
chmod 0640 /etc/bind/*     # keys are protected under bind group
chmod 2750 /etc/bind/keys
chmod 0640 /etc/bind/keys/*
chmod 2770 /var/lib/bind
chmod 0640 /var/lib/bind/*
chmod 0770 /var/lib/bind/dynamic
chmod 2770 /var/log/bind   # give Group Special Bit
chmod 0640 /var/log/bind/*

Это отличается от / var / log, где он полностью принадлежит named daemon.

chmod 0750 /var/log/bind
chmod 0640 /var/log/bind/*

Затем обновите / добавьте /etc/logrotate.d/bind файл, чтобы показать:

 /var/log/bind/*.log
{
  rotate 30
  daily
  dateext
  dateformat _%Y-%m-%d
  missingok
  su bind bind
  create 0640 bind bind
  delaycompress
  compress
  notifempty
  postrotate
    /bin/systemctl reload bind9
  endscript
}

Если вы используете другой дистрибутив Linux (например, RedHat, Arch, Gentoo, CentOS), замените слово bind с участием named повсюду выше.