Re: Bind und nsupdate in Debian/Buster
Am 2019-10-03, Ulf Volmer <u.volmer@u-v.de> schrieb:
> On 03.10.19 16:47, Peter Blancke wrote:
>> |10 kernel: [ 4031.953115] audit: type=1400 audit(1570113437.519:202):
>> |11 apparmor="DENIED" operation="mknod" profile="/usr/sbin/named"
>> |12 name="/etc/bind/zonen/ipdyn.de.jnl" pid=15525 comm="isc-worker0004"
>> |13 requested_mask="c" denied_mask="c" fsuid=104 ouid=104
>
> mit Debian Buster ist AppArmor eingeführt worden.
Ja, da war mein Schwachpunkt, mich damit bisher nicht beschäftigt zu
haben.
> Das verhindert den Schreibzugriff auf Dein Zone- File.
> Details stehen in /etc/apparmor.d/usr.sbin.named.
Darin findet sich die Zeile:
/etc/bind/** r,
Ändere ich das in
/etc/bind/** rw,
sind die Probleme verschwunden.
Aber ich fummele nicht gerne an Originaldateien der Distribution in
/etc herum, wenn es nicht nötig ist.
Daher folge ich Deinem anderen Ratschlag:
> Es ist vermutlich am einfachsten, wenn Du Deine dynamische Zone
> nach /var/lib/bind verschiebst.
Damit lief es auf Anhieb.
Vielen, vielen Dank, ein durchzitterter Feiertag findet so seinen
guten Ausklang. Und ich erreiche morgen wieder wie gewohnt keine
Kundenserver.
Vielen Dank auch an Andre Tann, der mich in die gleiche Richtung
stubste.
Gruß,
Peter Blancke
--
Hoc est enim verbum meum!
Reply to: