Hallo Tjeneradmins,
diese Mail richtet sich aus gegebenen Anlass an alle Admins von
Skolelinux-Servern.
Bitte prüfen Sie vor dem Einspielen des Debian Security Advisory DSA 1172-1
auf ihren Server, ob die unter den unten genannten URL's herrschenden
Bedingungen auf ihre Installation zutreffen.
Es besteht die dringende Möglichkeit, dass dadurch der Server nicht mehr
seinen Nameserverdienst nach dem Upgrade starten kann. Hierdurch werden dann
auch von diesem Dienst abhängige Dienste wie Squid, LDAP, usw. betroffen.
Falls dies passiert, sollten Sie folgende Schritte als root unternehmen:
1. Prüfen Sie /etc/defaults/bind9 daraufhin, ob es eine Eintrag
OPTIONS="-u bind" darin gibt.
Wenn nicht, dann erstellen Sie ihn.
2. Prüfen Sie, mit
tjener:~# ls -l /etc/bind/rndc.key
ob ihr Eintrag wie folgt aussieht (Rechte und User):
-rw-r----- 1 bind bind 77 2006-04-21 18:42 /etc/bind/rndc.key
Wenn nicht, stellen Sie die o.g. Rechte und den User ein
(chown / chmod).
3. Prüfen Sie mit
tjener:~# getent passwd | grep bind
bind:x:101:105::/var/cache/bind:/bin/false
ob es eine Benutzer bind gibt ( sollte so ein Eintrag wie oben sein)
4. Starten sie mit
tjener:~# /etc/init.d/bind9 start
den Nameserver.
5. Prüfen Sie mit
tjener:~# ps aux | grep named
bind 2132 0.0 1.1 29436 2852 ? Ss Sep11 0:00 /usr/sbin/named
ob der Nameserver läuft. Sie sollten eine solche Ausgabe
wie oben finden.
Es ist immer eine gute Idee, die davon abhängigen Dienste wie Squid, LDAP,
usw. ebenfalls zu prüfen.
Dieses Verhalten ist unter
http://bugs.skolelinux.no/show_bug.cgi?id=1115
sowie
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=386791
beschrieben.
Mit freundlichen Grüssen, Jürgen Leibner
Skolelinux-Team, Deutschland