[debian-users 00308] buster の bind9 /var/lib/samba/private/named.conf: permission denied
こんにちは。
最近、なにか反応が遅いと思っていたら、bind9 が止まっていました。 メッセージは、
/etc/bind/named.conf.local:8: open: /var/lib/samba/private/named.conf: permission denied
です。 /var/lib/samba/private内のnamed.conf は、
-rw-r--r-- 1 root root 779 6月 14 23:13 named.conf
これは、他の stretchのサーバーの設定と変わりません。 ちなみに、chgrp bind named.conf でも状況は変わりません。
/etc/bind/named.conf は、
// This is the primary configuration file for the BIND DNS server named. // // Please read /usr/share/doc/bind9/README.Debian for information on the // structure of BIND configuration files in Debian, *BEFORE* you customize // this configuration file. //
include "/var/lib/samba/private/named.conf";
zone "1.168.192.in-addr.arpa" { type master; file "/etc/bind/db.yyy"; allow-transfer { 192.168.1.xx; 2409:xxx:xxxx:xxx:xxxx:xxxx:xxxx:xxxx; } ; }; zone "3.168.192.in-addr.arpa" { type master; file "/etc/bind/db.zzzz"; allow-transfer { 192.168.1.zz; 2409:zzz:zzzz:zzz:zzzz:zzzz:zzzz:zzzz; } ; };
です。 /var/lib/samba/private/named.confは、<== bindのversionに合わせてます。
syslogには、
kernel: [36116.032632] audit: type=1400 audit(1529020892.000:35): apparmor="DENIED" operation="open" profile="/usr/sbin/named" name="/var/lib/samba/private/named.conf" pid=6934 comm="isc-worker0000" requested_mask="r" denied_mask="r" fsuid=112 ouid=0
/etc/apparmor.d/local/usr.sbin.namedは空です。
versionは、bind9/testing,now 1:9.11.3+dfsg-1 amd64
なにか、情報ありませんか?
木村と申します。
From: Tomoo Nomura nomurat@tmo.co.jp Subject: [debian-users 00308] buster の bind9 /var/lib/samba/private/named.conf: permission denied Date: Fri, 15 Jun 2018 09:33:24 +0900
最近、なにか反応が遅いと思っていたら、bind9 が止まっていました。 メッセージは、
/etc/bind/named.conf.local:8: open: /var/lib/samba/private/named.conf: permission denied
です。 /var/lib/samba/private内のnamed.conf は、
-rw-r--r-- 1 root root 779 6月 14 23:13 named.conf
これは、他の stretchのサーバーの設定と変わりません。 ちなみに、chgrp bind named.conf でも状況は変わりません。
DebianでBIND動かしたことがないので間違っているかもしれませんが、CentOS とかだとBINDはデフォルトでchrootされた状態で且つ実効UIDがnamedとかの rootでないユーザに変更されて動作するので、Debianも同様だったりするので はないでしょうか。
もしそうであるなら、例えばchroot先がCentOSと同じ/var/named/chrootだっ ととすると、chrootされた後のnamedプロセスが /var/lib/samba/private/named.confにアクセスした場合、実際には /var/named/chroot/var/lib/samba/private/named.confにアクセスすることに なります。で、/var/named/chroot/var/lib/samba/private/named.confのオー ナー/グループ/パーミッションが
-rw------- 1 root root 779 6月 14 23:13 /var/named/chroot/var/lib/samba/private/named.conf
とかになっていると、namedの実効UIDで動いているnamedプロセスにはreadの パーミッションがでていないので、permission deniedのエラーになると思い ます。
ですので、(chroot先のディレクトリ)/var/lib/samba/private/named.confの パーミッションを確認されてはいかがでしょうか。
一部憶測が入っているので間違っているかもしれませんが、ご参考まで。
--- 木村 康浩
木村 さん
/var/lib/samba/private内のnamed.conf は、
-rw-r--r-- 1 root root 779 6月 14 23:13 named.conf
これは、他の stretchのサーバーの設定と変わりません。 ちなみに、chgrp bind named.conf でも状況は変わりません。
と書いているように、ここでのpermissionは問題ないと思います。
野村
On 06/15/2018 11:00 AM, Yasuhiro KIMURA wrote:
木村と申します。
From: Tomoo Nomura nomurat@tmo.co.jp Subject: [debian-users 00308] buster の bind9 /var/lib/samba/private/named.conf: permission denied Date: Fri, 15 Jun 2018 09:33:24 +0900
最近、なにか反応が遅いと思っていたら、bind9 が止まっていました。 メッセージは、
/etc/bind/named.conf.local:8: open: /var/lib/samba/private/named.conf: permission denied
です。 /var/lib/samba/private内のnamed.conf は、
-rw-r--r-- 1 root root 779 6月 14 23:13 named.conf
これは、他の stretchのサーバーの設定と変わりません。 ちなみに、chgrp bind named.conf でも状況は変わりません。
DebianでBIND動かしたことがないので間違っているかもしれませんが、CentOS とかだとBINDはデフォルトでchrootされた状態で且つ実効UIDがnamedとかの rootでないユーザに変更されて動作するので、Debianも同様だったりするので はないでしょうか。
もしそうであるなら、例えばchroot先がCentOSと同じ/var/named/chrootだっ ととすると、chrootされた後のnamedプロセスが /var/lib/samba/private/named.confにアクセスした場合、実際には /var/named/chroot/var/lib/samba/private/named.confにアクセスすることに なります。で、/var/named/chroot/var/lib/samba/private/named.confのオー ナー/グループ/パーミッションが
-rw------- 1 root root 779 6月 14 23:13 /var/named/chroot/var/lib/samba/private/named.conf
とかになっていると、namedの実効UIDで動いているnamedプロセスにはreadの パーミッションがでていないので、permission deniedのエラーになると思い ます。
ですので、(chroot先のディレクトリ)/var/lib/samba/private/named.confの パーミッションを確認されてはいかがでしょうか。
一部憶測が入っているので間違っているかもしれませんが、ご参考まで。
木村 康浩 _______________________________________________ debian-users mailing list debian-users@debian.or.jp https://lists.debian.or.jp/mailman/listinfo/debian-users
双角といいます。
2018年6月15日(金) 9:38 Tomoo Nomura nomurat@tmo.co.jp:
syslogには、
kernel: [36116.032632] audit: type=1400 audit(1529020892.000:35): apparmor="DENIED" operation="open" profile="/usr/sbin/named" name="/var/lib/samba/private/named.conf" pid=6934 comm="isc-worker0000" requested_mask="r" denied_mask="r" fsuid=112 ouid=0
/etc/apparmor.d/local/usr.sbin.namedは空です。
versionは、bind9/testing,now 1:9.11.3+dfsg-1 amd64
なにか、情報ありませんか?
/var/lib/samba/private/named.confがAppArmorの制御下にないために、bindでの読み 取りを禁止している状況なのではないかと思われるのですが…。
bindで出力していたログの出力先に、AppArmorの制御下にないディレクトリを指定して いたため、bind側の設定を変更していないのに、AppArmorが有効になった途端にログが 出力できなくなる、というのを経験しています。
/etc/apparmor.d/local/usr.sbin.namedに
/var/lib/samba/private/named.conf lrw,
と記述後、
apparmor_parser -r /etc/apparmor.d/local/usr.sbin.named
で設定を反映すると、bindも正常起動できるようになるのではないかと思います。
双角 さん
/etc/apparmor.d/local/usr.sbin.namedに
/var/lib/samba/private/named.conf lrw,
も試したのですが、今度は、
dlz_dlopen failed to open library '/usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_11.so' - /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_11.so: failed to map segment
というようなエラーが出たので、元に戻しました。 その時のsyslogは、
debian kernel: [ 1119.813964] audit: type=1400 audit(1529050667.806:96): apparmor="DENIED" operation="file_mmap" profile="/usr/sbin/named" name="/usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_11.so" pid=1610 comm="isc-worker0000" requested_mask="m" denied_mask="m" fsuid=112 ouid=0
libraryに'm'がいるとか出てくるので、ちょっと変ですね。
野村
On 06/15/2018 02:58 PM, Soukaku TATARA wrote:
双角といいます。
2018年6月15日(金) 9:38 Tomoo Nomura <nomurat@tmo.co.jp mailto:nomurat@tmo.co.jp>:
syslogには、 kernel: [36116.032632] audit: type=1400 audit(1529020892.000:35): apparmor="DENIED" operation="open" profile="/usr/sbin/named" name="/var/lib/samba/private/named.conf" pid=6934 comm="isc-worker0000" requested_mask="r" denied_mask="r" fsuid=112 ouid=0 /etc/apparmor.d/local/usr.sbin.namedは空です。 versionは、bind9/testing,now 1:9.11.3+dfsg-1 amd64 なにか、情報ありませんか?/var/lib/samba/private/named.confがAppArmorの制御下にないために、bindで の読み 取りを禁止している状況なのではないかと思われるのですが…。
bindで出力していたログの出力先に、AppArmorの制御下にないディレクトリを指 定して いたため、bind側の設定を変更していないのに、AppArmorが有効になった途端に ログが 出力できなくなる、というのを経験しています。
/etc/apparmor.d/local/usr.sbin.namedに
/var/lib/samba/private/named.conf lrw,
と記述後、
apparmor_parser -r /etc/apparmor.d/local/usr.sbin.named
で設定を反映すると、bindも正常起動できるようになるのではないかと思います。
debian-users mailing list debian-users@debian.or.jp https://lists.debian.or.jp/mailman/listinfo/debian-users
木村 さん、 双角 さん
とりあえず解決しましたので、報告しておきます。 https://lists.samba.org/archive/samba/2017-November/212398.html ここからのスレッドを読んでいて、いろいろわかりました。
But why are you using buster, imo really not safe, if you wany a 4.7
for stretch use my apt.
根本的なことを言われてしまいましたが、これはとりあえずおいておいて。
Been using Ubuntu server for years in my AD. Discovered a long time
ago that apparmor is not needed for a server. (Someone is probably going to argue the other that is should be but . . .)
Do not quote me but, I have read that AppArmor is intended more for a desktop environment. I have always disabled and then removed AppArmor nd have never had any issues. Of course I am behind a hardware firewall so, hopefully, no exposure to any unwanted attacks.
ということで、もともと server には必要ないソフトのようですね。
The problem is that debian has fixed only half of the problem, yes
recommend apparmor by all means, but they also need to fix systemd units to NOT fail if apparmor isn't installed, after all, apparmor is a 'recommend' and not a 'dependency'. If some systemd units fail if apparmor isn't installed, then this is, undoubtedly, a bug.
一旦 dependancy になっていたようなんですが、今は recommend に変わっているようです。 ということで、apt remove apparmor で解決しました。
野村
On 06/15/2018 05:42 PM, Tomoo Nomura wrote:
双角 さん
/etc/apparmor.d/local/usr.sbin.namedに
/var/lib/samba/private/named.conf lrw,
も試したのですが、今度は、
dlz_dlopen failed to open library '/usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_11.so' - /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_11.so: failed to map segment
というようなエラーが出たので、元に戻しました。 その時のsyslogは、
debian kernel: [ 1119.813964] audit: type=1400 audit(1529050667.806:96): apparmor="DENIED" operation="file_mmap" profile="/usr/sbin/named" name="/usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_11.so" pid=1610 comm="isc-worker0000" requested_mask="m" denied_mask="m" fsuid=112 ouid=0
libraryに'm'がいるとか出てくるので、ちょっと変ですね。
野村
On 06/15/2018 02:58 PM, Soukaku TATARA wrote:
双角といいます。
2018年6月15日(金) 9:38 Tomoo Nomura <nomurat@tmo.co.jp mailto:nomurat@tmo.co.jp>:
syslogには、
kernel: [36116.032632] audit: type=1400 audit(1529020892.000:35): apparmor="DENIED" operation="open" profile="/usr/sbin/named" name="/var/lib/samba/private/named.conf" pid=6934 comm="isc-worker0000" requested_mask="r" denied_mask="r" fsuid=112 ouid=0
/etc/apparmor.d/local/usr.sbin.namedは空です。
versionは、bind9/testing,now 1:9.11.3+dfsg-1 amd64
なにか、情報ありませんか?
/var/lib/samba/private/named.confがAppArmorの制御下にないために、bind で の読み 取りを禁止している状況なのではないかと思われるのですが…。
bindで出力していたログの出力先に、AppArmorの制御下にないディレクトリを 指 定して いたため、bind側の設定を変更していないのに、AppArmorが有効になった途端 に ログが 出力できなくなる、というのを経験しています。
/etc/apparmor.d/local/usr.sbin.namedに
/var/lib/samba/private/named.conf lrw,
と記述後、
apparmor_parser -r /etc/apparmor.d/local/usr.sbin.named
で設定を反映すると、bindも正常起動できるようになるのではないかと思いま す。
debian-users mailing list debian-users@debian.or.jp https://lists.debian.or.jp/mailman/listinfo/debian-users
-
Soukaku TATARA -
Tomoo Nomura -
Yasuhiro KIMURA