木村 さん、 双角 さん
とりあえず解決しましたので、報告しておきます。 https://lists.samba.org/archive/samba/2017-November/212398.html ここからのスレッドを読んでいて、いろいろわかりました。
But why are you using buster, imo really not safe, if you wany a 4.7
for stretch use my apt.
根本的なことを言われてしまいましたが、これはとりあえずおいておいて。
Been using Ubuntu server for years in my AD. Discovered a long time
ago that apparmor is not needed for a server. (Someone is probably going to argue the other that is should be but . . .)
Do not quote me but, I have read that AppArmor is intended more for a desktop environment. I have always disabled and then removed AppArmor nd have never had any issues. Of course I am behind a hardware firewall so, hopefully, no exposure to any unwanted attacks.
ということで、もともと server には必要ないソフトのようですね。
The problem is that debian has fixed only half of the problem, yes
recommend apparmor by all means, but they also need to fix systemd units to NOT fail if apparmor isn't installed, after all, apparmor is a 'recommend' and not a 'dependency'. If some systemd units fail if apparmor isn't installed, then this is, undoubtedly, a bug.
一旦 dependancy になっていたようなんですが、今は recommend に変わっているようです。 ということで、apt remove apparmor で解決しました。
野村
On 06/15/2018 05:42 PM, Tomoo Nomura wrote:
双角 さん
/etc/apparmor.d/local/usr.sbin.namedに
/var/lib/samba/private/named.conf lrw,
も試したのですが、今度は、
dlz_dlopen failed to open library '/usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_11.so' - /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_11.so: failed to map segment
というようなエラーが出たので、元に戻しました。 その時のsyslogは、
debian kernel: [ 1119.813964] audit: type=1400 audit(1529050667.806:96): apparmor="DENIED" operation="file_mmap" profile="/usr/sbin/named" name="/usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_11.so" pid=1610 comm="isc-worker0000" requested_mask="m" denied_mask="m" fsuid=112 ouid=0
libraryに'm'がいるとか出てくるので、ちょっと変ですね。
野村
On 06/15/2018 02:58 PM, Soukaku TATARA wrote:
双角といいます。
2018年6月15日(金) 9:38 Tomoo Nomura <nomurat@tmo.co.jp mailto:nomurat@tmo.co.jp>:
syslogには、
kernel: [36116.032632] audit: type=1400 audit(1529020892.000:35): apparmor="DENIED" operation="open" profile="/usr/sbin/named" name="/var/lib/samba/private/named.conf" pid=6934 comm="isc-worker0000" requested_mask="r" denied_mask="r" fsuid=112 ouid=0
/etc/apparmor.d/local/usr.sbin.namedは空です。
versionは、bind9/testing,now 1:9.11.3+dfsg-1 amd64
なにか、情報ありませんか?
/var/lib/samba/private/named.confがAppArmorの制御下にないために、bind で の読み 取りを禁止している状況なのではないかと思われるのですが…。
bindで出力していたログの出力先に、AppArmorの制御下にないディレクトリを 指 定して いたため、bind側の設定を変更していないのに、AppArmorが有効になった途端 に ログが 出力できなくなる、というのを経験しています。
/etc/apparmor.d/local/usr.sbin.namedに
/var/lib/samba/private/named.conf lrw,
と記述後、
apparmor_parser -r /etc/apparmor.d/local/usr.sbin.named
で設定を反映すると、bindも正常起動できるようになるのではないかと思いま す。
debian-users mailing list debian-users@debian.or.jp https://lists.debian.or.jp/mailman/listinfo/debian-users