質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.35%
Debian

Debianは、Debian GNU/Linux などのOS(オペレーティングシステム)です。

Q&A

1回答

838閲覧

debian11 bind9のapparmorで肝心の/etc/bind/*に関する記述がどこにも無い

退会済みユーザー

退会済みユーザー

総合スコア0

Debian

Debianは、Debian GNU/Linux などのOS(オペレーティングシステム)です。

0グッド

0クリップ

投稿2022/08/11 08:37

前提

CentOS6で出来ていた社内サーバー(DNS権威サーバー)を更新しないといけなくなりました。有料は無理なので、CentOS系をやめてdebian11で作る事にしました。bind9でやりますが、chrootとapparmorを天秤にかけ、後者にしました。(現行システムはchrootでした。)

実現したいこと

apparmorガチで、DNS権威サーバーを公開しようとしています。ただしIDS機器はかますので、DOS攻撃等の対応は考えていません。主にLinuxの脆弱性が後に見つかった際の最終防波堤の役目を期待しています。

発生している問題・エラーメッセージ

bind9で、/etc/apparmor.dに有る設定ファイル(usr.sbin.named設定ファイルなど)のどれを見ても(abstructionやlocalサブディレクトリの中にも)、 /etc/bind/*(named.confなどが存在) に関係するアクセス可能に関する記述が有りません。
しかしながらそれでもaa-enforce namedとしても、そのbind9は起動し、ゾーン転送など確かに動いています。
他のフォルダのアクセス可能に関する 記述を消すと、間違いなくbind9の起動は不可となる為、apparmorは正常に稼働している と思います。

/etc/bind/* r の様な記述はどこにあるのでしょうか? chrootをやめたのでapparmorが頼りです。

該当のソースコード

特に有りません。

補足情報(FW/ツールのバージョンなど)

現在ダウンロード可能の「debian-11.4.0-amd64-netinst.iso」の1つ前のバージョンでした。gnomeなどは全部チェックを外してあります。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

DebianではなくてDebian 10系であるubuntu 20.04のサーバー版(家内ネームサーバー。外向き公開なし)で確認すると,
/etc/apparmor.d/usr.sbin.namedにあるようですね。
/etc/bind/** r,の記述があり,想定より*が一つ多いようですが。

以下設定そのままです。(以下略の上の/var/...がたくさんある行のさらに一つ上の行)

vim:syntax=apparmor # Last Modified: Fri Jun 1 16:43:22 2007 #include <tunables/global> /usr/sbin/named flags=(attach_disconnected) { #include <abstractions/base> #include <abstractions/nameservice> capability net_bind_service, capability setgid, capability setuid, capability sys_chroot, capability sys_resource, # /etc/bind should be read-only for bind # /var/lib/bind is for dynamically updated zone (and journal) files. # /var/cache/bind is for slave/stub data, since we're not the origin of it. # See /usr/share/doc/bind9/README.Debian.gz /etc/bind/** r, /var/lib/bind/** rw, /var/lib/bind/ rw, /var/cache/bind/** lrw, /var/cache/bind/ rw, ... 以下略

なお,自分の環境では空ファイルですが/etc/apparmor.d/local/usr.sbin.namedも参照してそうな感じです。

気が向けばubuntu 20.04 を22.04にアップデートしようと思うので,そちらなら確実に Debian11系なので,その時にもしこの質問を覚えていたら追記しようと思います。

投稿2022/10/31 12:51

ujimushi_sradjp

総合スコア2152

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

まだベストアンサーが選ばれていません

会員登録して回答してみよう

アカウントをお持ちの方は

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.35%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問