[debian-users 00310] Re: buster の bind9 /var/lib/samba/private/named.conf: permission denied

Soukaku TATARA soukaku @ downtown.jp
2018年 6月 15日 (金) 14:58:32 JST


双角といいます。

2018年6月15日(金) 9:38 Tomoo Nomura <nomurat @ tmo.co.jp>:

> syslogには、
>
> kernel: [36116.032632] audit: type=1400 audit(1529020892.000:35):
> apparmor="DENIED" operation="open" profile="/usr/sbin/named"
> name="/var/lib/samba/private/named.conf" pid=6934 comm="isc-worker0000"
> requested_mask="r" denied_mask="r" fsuid=112 ouid=0
>
> /etc/apparmor.d/local/usr.sbin.namedは空です。
>
> versionは、bind9/testing,now 1:9.11.3+dfsg-1 amd64
>
> なにか、情報ありませんか?
>

/var/lib/samba/private/named.confがAppArmorの制御下にないために、bindでの読み
取りを禁止している状況なのではないかと思われるのですが…。

bindで出力していたログの出力先に、AppArmorの制御下にないディレクトリを指定して
いたため、bind側の設定を変更していないのに、AppArmorが有効になった途端にログが
出力できなくなる、というのを経験しています。

/etc/apparmor.d/local/usr.sbin.namedに

/var/lib/samba/private/named.conf lrw,

と記述後、

apparmor_parser -r /etc/apparmor.d/local/usr.sbin.named

で設定を反映すると、bindも正常起動できるようになるのではないかと思います。
-------------- next part --------------
HTMLの添付ファイルを保管しました...
URL: <https://lists.debian.or.jp/pipermail/debian-users/attachments/20180615/049d4496/attachment.html>


debian-users メーリングリストの案内