Pour les personnes intéressées, il faut
- créer un sous-répertoire /etc/bind/sous-rep
- allouer dans le fichier /etc:apparmor.d/usr.sbin.named d' AppArmor les
droits d'écriture dans ce sous-répertoire
/etc/bind/sous-rep/** rw,
/etc/bind/** r,
/var/lib/bind/** rw,
- créer les fichiers db.xxx habituels dans ce répertoire
Le lun. 21 sept. 2020 à 16:41, Olivier <oza.4...@gmail.com> a écrit :
> Bonjour,
>
> Je teste la possibilité de mises à jour entre un serveur ISC-DHCP et une
> instance Bind9, les deux services étant hébergés par la même machine sous
> Debian Buster.
>
> J'ai suivi les instructions de [1] mais je rencontre l'erreur :
> Sep 21 16:17:54 foo kernel: [ 8867.630002] audit: type=1400
> audit(1600697874.163:25): apparmor="DENIED" operation="mknod"
> profile="/usr/sbin/named" name="/etc/bind/db.bar.com.jnl" pid=1482
> comm="isc-worker0000" requested_mask="c" denied_mask="c" fsuid=107 ouid=107
> Sep 21 16:17:54 foo named[1482]: /etc/bind/db.bar.com.jnl: create:
> permission denied
>
> Le début du contenu de /etc/apparmor.d/usr.sbin.named est:
> # vim:syntax=apparmor
> # Last Modified: Fri Jun 1 16:43:22 2007
> #include <tunables/global>
>
> /usr/sbin/named flags=(attach_disconnected) {
> #include <abstractions/base>
> #include <abstractions/nameservice>
>
> capability net_bind_service,
> capability setgid,
> capability setuid,
> capability sys_chroot,
> capability sys_resource,
>
> # /etc/bind should be read-only for bind
> # /var/lib/bind is for dynamically updated zone (and journal) files.
> # /var/cache/bind is for slave/stub data, since we're not the origin of
> it.
> # See /usr/share/doc/bind9/README.Debian.gz
> /etc/bind/** r,
> /var/lib/bind/** rw,
> /var/lib/bind/ rw,
> /var/cache/bind/** lrw,
> /var/cache/bind/ rw,
>
> # Database file used by allow-new-zones
> /var/cache/bind/_default.nzd-lock rwk,
> ...
>
> Comment autoriser proprement la création des fichiers
> /etc/bind/db.bar.com.jnl ?
> Suggestions ?
> Conseils ?
>
> [1] https://wiki.debian.org/DDNS
>
> Slts
>
