syslogには、
kernel: [36116.032632] audit: type=1400 audit(1529020892.000:35):
apparmor="DENIED" operation="open" profile="/usr/sbin/named"
name="/var/lib/samba/private/named.conf" pid=6934 comm="isc-worker0000"
requested_mask="r" denied_mask="r" fsuid=112 ouid=0
/etc/apparmor.d/local/usr.sbin.namedは空です。
versionは、bind9/testing,now 1:9.11.3+dfsg-1 amd64
なにか、情報ありませんか?
/var/lib/samba/private/named.confがAppArmorの制御下にないために、bindでの読み
取りを禁止している状況なのではないかと思われるのですが…。
bindで出力していたログの出力先に、AppArmorの制御下にないディレクトリを指定して
いたため、bind側の設定を変更していないのに、AppArmorが有効になった途端にログが
出力できなくなる、というのを経験しています。
/etc/apparmor.d/local/usr.sbin.namedに
/var/lib/samba/private/named.conf lrw,
と記述後、
apparmor_parser -r /etc/apparmor.d/local/usr.sbin.named
で設定を反映すると、bindも正常起動できるようになるのではないかと思います。