Q&A前提・実現したいこと
Debianを9から10にアップグレードすると、rndc stats で permission denied となるようになってしまいました。
Debian 9の時は、問題なく実行できていました。
rndc stats で、bind の状態を取得したいです。
発生している問題・エラーメッセージ
text
1# rndc stats 2rndc: 'stats' failed: permission denied
試したこと
ググると、/var/cache/bind/ のパーミッションの問題というのがあったので確認してみましたが、問題ないようです。
念のため、bindユーザが/var/cache/bind/に書き込めることも確認しました。
text
1# ls -ld /var/cache/bind/ 2drwxrwxr-x 3 bind bind 4096 12月 27 10:57 /var/cache/bind/ 3# sudo -u bind touch /var/cache/bind/dummy 4# ls -l /var/cache/bind/dummy 5-rw-r--r-- 1 bind bind 0 12月 27 11:37 /var/cache/bind/dummy
/var/cache/bind がシンボリックリンクになっていることが問題だと考え、以下のような設定にしてみましたが、同じ結果でした。
text
1options { 2 directory "/var/cache/bind"; 3 :
環境、設定
text
1# uname -a 2Linux dummy 4.19.0-13-amd64 #1 SMP Debian 4.19.160-2 (2020-11-28) x86_64 GNU/Linux 3# lsb_release -a 4No LSB modules are available. 5Distributor ID: Debian 6Description: Debian GNU/Linux 10 (buster) 7Release: 10 8Codename: buster 9# dpkg -l|grep bind9 10ii bind9 1:9.11.5.P4+dfsg-5.1+deb10u2 amd64 Internet Domain Name Server 11ii bind9-host 1:9.11.5.P4+dfsg-5.1+deb10u2 amd64 DNS lookup utility (deprecated) 12ii bind9utils 1:9.11.5.P4+dfsg-5.1+deb10u2 amd64 Utilities for BIND 13ii libbind9-161:amd64 1:9.11.5.P4+dfsg-5.1+deb10u2 amd64 BIND9 Shared Library used by BIND 14# getenforce 15Disabled
- /etc/default/bind9
text
1RESOLVCONF=no 2OPTIONS="-u bind"
- /etc/bind/named.conf
text
1include "/etc/bind/named.conf.options"; 2include "/etc/bind/named.conf.local"; 3include "/etc/bind/named.conf.default-zones";
- /etc/bind/named.conf.options
text
1options { 2 directory "/var/cache/bind"; 3 forwarders { 4 }; 5 auth-nxdomain no; # conform to RFC1035 6 listen-on-v6 { any; }; 7 allow-query { 8 ::1; 9 127.0.0.1; 10 192.168.0.0/16; 11 fe80::0/16; 12 }; 13 allow-transfer { ::1; 127.0.0.1; }; 14 allow-recursion { 15 192.168.0.0/16; 16 fe80::0/16; 17 127.0.0.1; 18 ::1; 19 }; 20 recursion yes; 21 listen-on { 22 127.0.0.1; 23 192.168.0.1; 24 }; 25 dnssec-enable yes; 26 dnssec-validation auto; 27}; 28logging { 29 channel lamesv-log { 30 file "/var/log/named/lamesv.log" versions 40 size 10m; 31 severity info; 32 print-time yes; 33 print-severity yes; 34 print-category yes; 35 }; 36 channel named-log { 37 file "/var/log/named/named.log" versions 40 size 10m; 38 severity info; 39 print-time yes; 40 print-severity yes; 41 print-category yes; 42 }; 43 channel queries-log { 44 file "/var/log/named/queries.log" versions 40 size 10m; 45 severity info; 46 print-time yes; 47 print-severity yes; 48 print-category yes; 49 }; 50 category lame-servers { lamesv-log; }; 51 category default { named-log; }; 52 category queries { queries-log; }; 53};
- /etc/bind/named.conf.local
text
1zone "10.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; 2zone "16.172.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; 3zone "17.172.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; 4zone "18.172.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; 5zone "19.172.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; 6zone "20.172.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; 7zone "21.172.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; 8zone "22.172.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; 9zone "23.172.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; 10zone "24.172.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; 11zone "25.172.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; 12zone "26.172.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; 13zone "27.172.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; 14zone "28.172.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; 15zone "29.172.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; 16zone "30.172.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; 17zone "31.172.in-addr.arpa" { type master; file "/etc/bind/db.empty"; }; 18acl "localdns" { 19 192.168.0.9; 20 127.0.0.1; 21 ::1; 22}; 23acl "localupdate" { 24 127.0.0.1; 25 ::1; 26 192.168.0.1; 27 192.168.0.21; 28 192.168.0.22; 29 192.168.0.212; 30}; 31zone "dummy.local" IN { 32 type master; 33 file "dummy.example.zone"; 34 check-names ignore; 35 allow-transfer { 36 localdns; 37 }; 38 allow-update { 39 localupdate; 40 }; 41}; 42zone "dummy.example.jp" IN { 43 type master; 44 file "dummy.example.jp.zone"; 45 allow-transfer { 46 localdns; 47 }; 48}; 49zone "168.192.in-addr.arpa" IN { 50 type master; 51 file "dummy.local.rev"; 52 allow-transfer { 53 localdns; 54 }; 55 allow-update { 56 localupdate; 57 }; 58};
- /etc/bind/named.conf.default-zones
text
1zone "." { 2 type hint; 3 file "/usr/share/dns/root.hints"; 4}; 5zone "localhost" { 6 type master; 7 file "/etc/bind/db.local"; 8}; 9zone "127.in-addr.arpa" { 10 type master; 11 file "/etc/bind/db.127"; 12}; 13zone "0.in-addr.arpa" { 14 type master; 15 file "/etc/bind/db.0"; 16}; 17zone "255.in-addr.arpa" { 18 type master; 19 file "/etc/bind/db.255"; 20};
その他
/var/cache/bind は、シンボリックリンクとなっています。
text
1lrwxrwxrwx 1 root root 24 5月 3 2019 /var/cache/bind -> /opt/bind
回答1件
0
自己解決
いろいろ試したところ、本当のパスが /var/cache/bind 以外だとうまくいかないようでした。
このため、/var/cache/bind にマウントすることで回避しました。
text
1mount --bind /opt/bind /var/cache/bind
投稿2020/12/28 06:41
総合スコア204
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。