SELinux -> BIND
name2 named[1694]: isc_stdio_open '/var/log/named.log' failed: permission denied
name2 named[1694]: isc_stdio_open '/var/log/named-transfer.log' failed: permission denied
name2 named[1694]: isc_stdio_open '/var/log/named-security.log' failed: permission denied
-это банально named не мог записать логи в указанные директории, даже права на директории давались 777 (named:named) и ничего...
- эта ошибка возникала тоже по причине прав доступа. Опять же, давались максимальные права и всё ни в какую! (тут ошибка при трансфере зоны - трансфер проходил, при этом named должен создавать временный файл, а уж после его переименовать в файл зоны.)
Решение:
Нужно отключить SELinux, либо настроить так, чтобы ваш Bind комфортно себя чувствовал.
Не имея навыков как его корректно настраивать, я его пока отключу:
Лирика:
#vi /etc/sysconfig/selinux
selinux=disabled
#setenforce 0
В поисках решения, часто натыкался на страницы, где говорили, что AppArmor всему виной. Я добросовестно проверял rpm -q apparmor, ничего подобного не находил и шёл дальше на поиски. Лишь уже под конец дня, на исходе сил, с мыслью "Не может же быть так всё плохо!" и подсознательное понимание, что всё же какая-то система безопасности в духе AppArmor рубит всё, я вбил следующий, спасающий запрос в Google
Для информации:
Security Enhanced Linux - SELinux разработан в агенстве национальной безопасности (NSA) в 2000 году. Проект распространяется по лицензии GPL. Основной целью проекта является достижение такого уровня защищенности компьютерной системы, чтобы можно было спокойно использовать ее в военных и правительственных организациях. SeLinux являет собой дополнительное расширение к ядру, целью которого является увеличение его защищенности и возможность строго и гибко регулировать права доступа к системе для конкретных пользователей.
Для понимания работы SELinux:
http://centos.name//Selinux
А бывает ещё такая проблема при Bind-Chroot - не пишутся логи.
http://www.php2s.com/linux/how-to-configure-bind-logging-with-bind-chroot-on-centos-6-2.html
А бывает ещё такая проблема при Bind-Chroot - не пишутся логи.
http://www.php2s.com/linux/how-to-configure-bind-logging-with-bind-chroot-on-centos-6-2.html
Источник решения проблемы: www.kaltura.org
А надо было только задать соответствующий контекст для файлов зон:
ОтветитьУдалить# pwd
/var/named/chroot/etc
# chcon system_u:object_r:named_zone_t:s0 named/master/*.ru
После чего Bind вполне запускается при:
# getenforce
Enforcing
ЗЫ: Привет от родственников ☺
ЗЗЫ: С записью журналов проблем быть не должно.
Надо лишь читать конфиги. Комментарий в /etc/sysconfig/named как раз описывает проблему.
Благодарю за комментарий!
Удалить