[debian-users 00313] Re: buster の bind9 /var/lib/samba/private/named.conf: permission denied [SOLVED]

Tomoo Nomura nomurat @ tmo.co.jp
2018年 6月 16日 (土) 09:29:00 JST


木村 さん、 双角 さん

とりあえず解決しましたので、報告しておきます。
https://lists.samba.org/archive/samba/2017-November/212398.html
ここからのスレッドを読んでいて、いろいろわかりました。

 > But why are you using buster, imo really not safe,  if you wany a 4.7 
for stretch use my apt.

根本的なことを言われてしまいましたが、これはとりあえずおいておいて。

 > Been using Ubuntu server for years in my AD. Discovered a long time 
ago that apparmor is not needed for a server. (Someone is probably going 
to argue the other that is should be but . . .)

Do not quote me but, I have read that AppArmor is intended more for a
desktop environment. I have always disabled and then removed AppArmor 
nd have never had any issues. Of course I am behind a hardware firewall 
so, hopefully, no exposure to any unwanted attacks.

ということで、もともと server には必要ないソフトのようですね。

 > The problem is that debian has fixed only half of the problem, yes
recommend apparmor by all means, but they also need to fix systemd
units to NOT fail if apparmor isn't installed, after all, apparmor is a
'recommend' and not a 'dependency'. If some systemd units fail if
apparmor isn't installed, then this is, undoubtedly, a bug.

一旦 dependancy になっていたようなんですが、今は recommend 
に変わっているようです。
ということで、apt remove apparmor で解決しました。

野村




On 06/15/2018 05:42 PM, Tomoo Nomura wrote:
> 双角 さん
> 
>  > /etc/apparmor.d/local/usr.sbin.namedに
>  >
>  > /var/lib/samba/private/named.conf lrw,
> 
> も試したのですが、今度は、
> 
> dlz_dlopen failed to open library 
> '/usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_11.so' - 
> /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_11.so: failed to map 
> segment
> 
> というようなエラーが出たので、元に戻しました。
> その時のsyslogは、
> 
> debian kernel: [ 1119.813964] audit: type=1400 audit(1529050667.806:96): 
> apparmor="DENIED" operation="file_mmap" profile="/usr/sbin/named" 
> name="/usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_11.so" pid=1610 
> comm="isc-worker0000" requested_mask="m" denied_mask="m" fsuid=112 ouid=0
> 
> libraryに'm'がいるとか出てくるので、ちょっと変ですね。
> 
> 野村
> 
> 
> 
> On 06/15/2018 02:58 PM, Soukaku TATARA wrote:
>> 双角といいます。
>>
>> 2018年6月15日(金) 9:38 Tomoo Nomura <nomurat @ tmo.co.jp 
>> <mailto:nomurat @ tmo.co.jp>>:
>>
>>     syslogには、
>>
>>     kernel: [36116.032632] audit: type=1400 audit(1529020892.000:35):
>>     apparmor="DENIED" operation="open" profile="/usr/sbin/named"
>>     name="/var/lib/samba/private/named.conf" pid=6934 
>> comm="isc-worker0000"
>>     requested_mask="r" denied_mask="r" fsuid=112 ouid=0
>>
>>     /etc/apparmor.d/local/usr.sbin.namedは空です。
>>
>>     versionは、bind9/testing,now 1:9.11.3+dfsg-1 amd64
>>
>>     なにか、情報ありませんか?
>>
>>
>> /var/lib/samba/private/named.confがAppArmorの制御下にないために、bind 
>> で の読み
>> 取りを禁止している状況なのではないかと思われるのですが…。
>>
>> bindで出力していたログの出力先に、AppArmorの制御下にないディレクトリを 
>> 指 定して
>> いたため、bind側の設定を変更していないのに、AppArmorが有効になった途端 
>> に ログが
>> 出力できなくなる、というのを経験しています。
>>
>> /etc/apparmor.d/local/usr.sbin.namedに
>>
>> /var/lib/samba/private/named.conf lrw,
>>
>> と記述後、
>>
>> apparmor_parser -r /etc/apparmor.d/local/usr.sbin.named
>>
>> で設定を反映すると、bindも正常起動できるようになるのではないかと思いま 
>> す。
>>
>>
>> _______________________________________________
>> debian-users mailing list
>> debian-users @ debian.or.jp
>> https://lists.debian.or.jp/mailman/listinfo/debian-users
>>
> 
> 


-- 
************** Nomura Technical Management Office **************
  Tomoo Nomura      nomura @ tmo.co.jp       http://www.tmo.co.jp/
     Phone: +81-78-797-0240 Fax: +81-78-754-8240
  Guitar Salon TMO http://www.tmo.co.jp/salon/
****************************************************************


debian-users メーリングリストの案内