Ubuntu 22.04.4 LTS
绑定 9.18.18
我已将命名区域文件放置在 /etc/bind/zones 中,但我已将机器设为动态 DNS 的辅助机器,它是静态区域的主要机器,但实际上没有客户端,因为该服务器仅存在于在将更改移动到我们的实际主服务器之前查找区域或配置文件错误。
我看到 apparmor 拒绝允许更新动态区域日志文件。我没有遵循良好的命名约定,因此这些文件的名称中有可变数量的句点。我相信允许绑定用户访问此目录中的所有文件是可以的,但我未能正确编辑 apparmor usr.sbin.named 文件,没有破坏它,只是未能创建正确的条目。
3 月 11 日 19:23:59 intestclone 审计 [4414]: AVC apparmor="DENIED" 操作="unlink" 配置文件="named" 名称="/etc/bind/zones/db.esp.38-ptr.jnl" pid=4414 comm="isc-net-0001" requested_mask="d" denied_mask="d" fsuid=114 ouid=0
还有一个次要问题,当我重新加载服务器时,看到此错误:zone cms155.wadsworth.org/IN: refresh: unexpected rcode (NXDOMAIN) from primary
我已将此服务器的 IP 添加为活动主/辅助服务器上的传输授权。我不认为此错误是第一个问题的结果,但我将首先解决第一个问题并查看。
答案1
复制并编辑了错误的行。
只是为了清楚起见,当您想允许访问 /usr/bind/zones 时,您不必复制和编辑 /var/bind 来创建 /var/bind/zones。
我还更改了辅助服务器,将所有文件格式化为文本,虽然有时成功有时失败,但现在全部都是文本。
为了清楚起见,转储 /etc/apparmor.d/usr.sbin.bind 中的编辑错误
我不相信第二个变化与我看到的错误有任何关系。
关闭该问题,因为我现在正在干净地重新启动命名。
答案2
好的 - 现在我有了。我的静态和动态文件包含之间存在冲突,有些重复。更正了 /etc/bind/zones 的路径,并且由于此测试服务器充当动态区域的辅助服务器,我需要允许 apparmor 中的链接,/etc/bind/zones/** lrw 此外,我缺少某些区域的尾随点和括号。
总体而言,我的替换服务器的配置比其所替换的旧虚拟机要好得多。