我正在尝试在 chroot 监狱中的 ubuntu 机器上运行 bind9,如“Linux 系统管理”(Adelstein & Lubanovic) 中所述。命令“sudo /etc/init.d/bind9 start”在 syslog 中生成错误:
Jun 27 13:39:48 doli named[12418]: starting BIND 9.5.1-P2 -u bind -t /var/lib/named
. . .
Jun 27 13:39:48 doli named[12418]: loading configuration from '/etc/bind/named.conf'
Jun 27 13:39:48 doli named[12418]: none:0: open: /etc/bind/named.conf: permission denied
Jun 27 13:39:48 doli named[12418]: loading configuration: permission denied
Jun 27 13:39:48 doli named[12418]: exiting (due to fatal error)
Jun 27 13:39:48 doli kernel: [426157.438173] type=1503 audit(1246124388.753:33): operation="inode_permission" requested_mask="r::" denied_mask="r::" fsuid=105 name="/var/lib/named/etc/bind/named.conf" pid=12419 profile="/usr/sbin/named"
服务器配置如下:
- /etc/bind 符号链接到 /var/lib/named/etc/bind。
- /var/.../etc 的所有权以及其中的所有内容都设置为 bind:bind。
- /etc/default/bind9 有 OPTIONS="-u bind -t /var/lib/named" (但我注意到 /etc/init.d/bind9 有 OPTIONS="" 和一个似乎说别管它的符号并重置 /etc/default/bind9 中的值)。
系统日志表明问题在于bind9 的进程所有者无法读取配置文件,但它以root 身份启动并重置为bind,我认为其中任何一个都应该能够读取配置。
我在这里想念什么?
编辑:哎呀,AppArmor,而不是 SELinux ......
查看 /etc/apparmor.d/usr.sbin.named
有一个部分如下所示:
我建议之后添加这个(或者可能用这个替换它):