Appamor et DNS/DHCP
Bonjour,
Depuis quelques jours, j'ai des soucis avec la mise à jour automatique
des DNS par le serveur DHCP. Voici le log lors de la connexion d'un client :
Aug 26 11:28:39 canoe dhcpd[1590]: DHCPREQUEST for 192.168.0.34 from
ac:fd:ce:c6:11:32 (surf) via enp2s0
Aug 26 11:28:39 canoe dhcpd[1590]: DHCPACK on 192.168.0.34 to
ac:fd:ce:c6:11:32 (surf) via enp2s0
Aug 26 11:28:39 canoe named[921]: client @0x7f01f04c6b90
192.168.0.2#55495/key rndc-key: signer "rndc-key" approved
Aug 26 11:28:39 canoe named[921]: client @0x7f01f04c6b90
192.168.0.2#55495/key rndc-key: updating zone 'homeg.lan/IN': adding an
RR at 'surf.homeg.lan' A 192.168.0.34
Aug 26 11:28:39 canoe named[921]: client @0x7f01f04c6b90
192.168.0.2#55495/key rndc-key: updating zone 'homeg.lan/IN': adding an
RR at 'surf.homeg.lan' TXT "001a4dce09a52d221b64a0776507d60894"
Aug 26 11:28:39 canoe kernel: [ 484.326483] audit: type=1400
audit(1566811719.767:20): apparmor="DENIED" operation="mknod"
profile="/usr/sbin/named" name="/etc/bind/db.homeg.lan.jnl" pid=921
comm="isc-worker0000" requested_mask="c" denied_mask="c" fsuid=105 ouid=105
Aug 26 11:28:39 canoe named[921]: /etc/bind/db.homeg.lan.jnl: create:
permission denied
Aug 26 11:28:39 canoe named[921]: client @0x7f01f04c6b90
192.168.0.2#55495/key rndc-key: updating zone 'homeg.lan/IN': error:
journal open failed: unexpected error
Aug 26 11:28:39 canoe dhcpd[1590]: Unable to add forward map from
surf.homeg.lan to 192.168.0.34: SERVFAIL
Ce qui m'embête c'est celui-ci :
Aug 26 11:28:39 canoe kernel: [ 484.326483] audit: type=1400
audit(1566811719.767:20): apparmor="DENIED" operation="mknod"
profile="/usr/sbin/named" name="/etc/bind/db.homeg.lan.jnl" pid=921
comm="isc-worker0000" requested_mask="c" denied_mask="c" fsuid=105 ouid=105
Aug 26 11:28:39 canoe named[921]: /etc/bind/db.homeg.lan.jnl: create:
permission denied
Du coup, j'ai changé une ligne de /etc/appamor.d/usr.sbin.named
- /etc/bind/** r,
+ /etc/bind/** rw,
Bind et DHCP sont désormais ok mais est-ce un souci ? Ce journal ne
devrait-il pas être ailleurs que dans /etc/ ?
--
Migrec
Reply to: