双角といいます。

2018年6月15日(金) 9:38 Tomoo Nomura <nomurat@tmo.co.jp>:
syslogには、

kernel: [36116.032632] audit: type=1400 audit(1529020892.000:35):
apparmor="DENIED" operation="open" profile="/usr/sbin/named"
name="/var/lib/samba/private/named.conf" pid=6934 comm="isc-worker0000"
requested_mask="r" denied_mask="r" fsuid=112 ouid=0

/etc/apparmor.d/local/usr.sbin.namedは空です。

versionは、bind9/testing,now 1:9.11.3+dfsg-1 amd64

なにか、情報ありませんか?

/var/lib/samba/private/named.confがAppArmorの制御下にないために、bindでの読み
取りを禁止している状況なのではないかと思われるのですが…。

bindで出力していたログの出力先に、AppArmorの制御下にないディレクトリを指定して
いたため、bind側の設定を変更していないのに、AppArmorが有効になった途端にログが
出力できなくなる、というのを経験しています。

/etc/apparmor.d/local/usr.sbin.namedに

/var/lib/samba/private/named.conf lrw,

と記述後、

apparmor_parser -r /etc/apparmor.d/local/usr.sbin.named

で設定を反映すると、bindも正常起動できるようになるのではないかと思います。