Bonjour,
Je teste la possibilité de mises à jour entre un serveur ISC-DHCP et une instance Bind9, les deux services étant hébergés par la même machine sous Debian Buster.
J'ai suivi les instructions de [1] mais je rencontre l'erreur :
Sep 21 16:17:54 foo kernel: [ 8867.630002] audit: type=1400 audit(1600697874.163:25): apparmor="DENIED" operation="mknod" profile="" name="/etc/bind/db.bar.com.jnl" pid=1482 comm="isc-worker0000" requested_mask="c" denied_mask="c" fsuid=107 ouid=107
Sep 21 16:17:54 foo named[1482]: /etc/bind/db.bar.com.jnl: create: permission denied
Le début du contenu de /etc/apparmor.d/usr.sbin.named est:
# vim:syntax=apparmor
# Last Modified: Fri Jun 1 16:43:22 2007
#include <tunables/global>
/usr/sbin/named flags=(attach_disconnected) {
#include <abstractions/base>
#include <abstractions/nameservice>
capability net_bind_service,
capability setgid,
capability setuid,
capability sys_chroot,
capability sys_resource,
# /etc/bind should be read-only for bind
# /var/lib/bind is for dynamically updated zone (and journal) files.
# /var/cache/bind is for slave/stub data, since we're not the origin of it.
# See /usr/share/doc/bind9/README.Debian.gz
/etc/bind/** r,
/var/lib/bind/** rw,
/var/lib/bind/ rw,
/var/cache/bind/** lrw,
/var/cache/bind/ rw,
# Database file used by allow-new-zones
/var/cache/bind/_default.nzd-lock rwk,
...
Comment autoriser proprement la création des fichiers /etc/bind/db.bar.com.jnl ?
Suggestions ?
Conseils ?
Slts