nomeado executando como root não pode ler named.conf

2

Tentei rodar nomeado como meu próprio usuário em uma caixa do Ubuntu, e ele não pôde ler o arquivo named.conf:

named -d 9 -c named.conf -g
19-Aug-2015 11:33:10.698 starting BIND 9.9.5-3ubuntu0.4-Ubuntu -d 9 -c named.conf -g
19-Aug-2015 11:33:10.698 built with '--prefix=/usr' '--mandir=/usr/share/man' '--infodir=/usr/share/info' '--sysconfdir=/etc/bind' '--localstatedir=/var' '--enable-threads' '--enable-largefile' '--with-libtool' '--enable-shared' '--enable-static' '--with-openssl=/usr' '--with-gssapi=/usr' '--with-gnu-ld' '--with-geoip=/usr' '--with-atf=no' '--enable-ipv6' '--enable-rrl' '--enable-filter-aaaa' 'CFLAGS=-fno-strict-aliasing -DDIG_SIGCHASE -O2'
19-Aug-2015 11:33:10.698 ----------------------------------------------------
19-Aug-2015 11:33:10.698 BIND 9 is maintained by Internet Systems Consortium,
19-Aug-2015 11:33:10.698 Inc. (ISC), a non-profit 501(c)(3) public-benefit 
19-Aug-2015 11:33:10.698 corporation.  Support and training for BIND 9 are 
19-Aug-2015 11:33:10.698 available at https://www.isc.org/support
19-Aug-2015 11:33:10.698 ----------------------------------------------------
19-Aug-2015 11:33:10.698 found 8 CPUs, using 8 worker threads
19-Aug-2015 11:33:10.698 using 8 UDP listeners per interface
19-Aug-2015 11:33:10.699 using up to 4096 sockets
19-Aug-2015 11:33:10.699 Registering DLZ_dlopen driver
19-Aug-2015 11:33:10.699 Registering SDLZ driver 'dlopen'
19-Aug-2015 11:33:10.699 Registering DLZ driver 'dlopen'
19-Aug-2015 11:33:10.700 decrement_reference: delete from rbt: 0x7fbd40eb6068 .
19-Aug-2015 11:33:10.703 loading configuration from '/tmp/name/named.conf'
19-Aug-2015 11:33:10.703 open: /tmp/name/named.conf: permission denied
19-Aug-2015 11:33:10.703 load_configuration: permission denied
19-Aug-2015 11:33:10.703 loading configuration: permission denied
19-Aug-2015 11:33:10.703 exiting (due to fatal error)

Eu abri as permissões no named.conf:

drwxrwxrwx  2 don  don    4096 Aug 19 11:31 ./
drwxrwxrwt 26 root root 118784 Aug 19 11:35 ../
-rwxrwxrwx  1 don  don     387 Aug 19 11:33 named.conf*

Eu tentei rodar como root com o mesmo resultado:

sudo named -d 9 -c named.conf -g

O sistema operacional é o Ubuntu:

uname -a
Linux don-asus 3.16.0-46-generic #62~14.04.1-Ubuntu SMP Tue Aug 11 16:27:16 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

Isso tudo funciona bem no OSX e em outra caixa do Ubuntu. O que mais no Linux pode bloquear o acesso para abrir um arquivo?

Editar:

>sudo apparmor_status
apparmor module is loaded.
24 profiles are loaded.
24 profiles are in enforce mode.
   /sbin/dhclient
...

Então - parece que é ativo.

    
por Don Branson 19.08.2015 / 18:41

1 resposta

3

Como foi encontrado com base na discussão nos comentários, o AppArmor foi encontrado para ser carregado (com base em sudo apparmor_status output).

Quando o AppArmor é carregado e tem regras no modo enforce, ele pode fazer coisas como impedir que processos específicos acessem qualquer coisa, exceto caminhos específicos.

Eu presumo que o que está acontecendo aqui é que ele tem regras para o BIND que garante que o processo named possa acessar apenas algo como /etc/bind , /var/cache/bind , /var/lib/bind (os caminhos que o Debian / Ubuntu padrão Usos de configuração do BIND).


Se você quiser desabilitar completamente o perfil, a página do Wiki AppArmor da Ajuda do Ubuntu detalha como desabilitar um perfil:

sudo ln -s /etc/apparmor.d/profile.name /etc/apparmor.d/disable/
sudo apparmor_parser -R /etc/apparmor.d/profile.name


Alternativamente, você pode ajustar as regras para o perfil do BIND e recarregá-lo:

sudo apparmor_parser -r /etc/apparmor.d/profile.name
    
por 19.08.2015 / 19:07