前提
CentOS6で出来ていた社内サーバー(DNS権威サーバー)を更新しないといけなくなりました。有料は無理なので、CentOS系をやめてdebian11で作る事にしました。bind9でやりますが、chrootとapparmorを天秤にかけ、後者にしました。(現行システムはchrootでした。)
実現したいこと
apparmorガチで、DNS権威サーバーを公開しようとしています。ただしIDS機器はかますので、DOS攻撃等の対応は考えていません。主にLinuxの脆弱性が後に見つかった際の最終防波堤の役目を期待しています。
発生している問題・エラーメッセージ
bind9で、/etc/apparmor.dに有る設定ファイル(usr.sbin.named設定ファイルなど)のどれを見ても(abstructionやlocalサブディレクトリの中にも)、 /etc/bind/*(named.confなどが存在) に関係するアクセス可能に関する記述が有りません。
しかしながらそれでもaa-enforce namedとしても、そのbind9は起動し、ゾーン転送など確かに動いています。
他のフォルダのアクセス可能に関する 記述を消すと、間違いなくbind9の起動は不可となる為、apparmorは正常に稼働している と思います。
/etc/bind/* r の様な記述はどこにあるのでしょうか? chrootをやめたのでapparmorが頼りです。
該当のソースコード
特に有りません。
補足情報(FW/ツールのバージョンなど)
現在ダウンロード可能の「debian-11.4.0-amd64-netinst.iso」の1つ前のバージョンでした。gnomeなどは全部チェックを外してあります。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。