Nach Upgrade auf Buster startet Bind9 nicht mehr

[Blacky2019]

Guten Abend liebes Forum.
Ich habe gestern das Upgrade auf Buster durchgezogen. Es gab einige Schwierigkeiten aber nunmehr läuft alles soweit bis auf den bind9

marcus@debian-svr:/etc/bind$ sudo service bind9 status
● bind9.service - BIND Domain Name Server
Loaded: loaded (/etc/systemd/system/bind9.service; enabled; vendor preset: enabled)
Active: failed (Result: exit-code) since Wed 2019-07-24 22:00:41 CEST; 2s ago
Docs: man:named(8)
Process: 4377 ExecStart=/usr/sbin/named -f -u bind -t /var/bind9/chroot (code=exited, status=1/FAILURE)
Main PID: 4377 (code=exited, status=1/FAILURE)

Jul 24 22:00:41 debian-svr named[4377]: adjusted limit on open files from 524288 to 1048576
Jul 24 22:00:41 debian-svr named[4377]: found 2 CPUs, using 2 worker threads
Jul 24 22:00:41 debian-svr named[4377]: using 1 UDP listener per interface
Jul 24 22:00:41 debian-svr named[4377]: using up to 4096 sockets
'Jul 24 22:00:41 debian-svr named[4377]: loading configuration from '/etc/bind/named.conf
Jul 24 22:00:41 debian-svr named[4377]: open: /etc/bind/named.conf: permission denied
Jul 24 22:00:41 debian-svr named[4377]: loading configuration: permission denied
Jul 24 22:00:41 debian-svr named[4377]: exiting (due to fatal error)
Jul 24 22:00:41 debian-svr systemd[1]: bind9.service: Main process exited, code=exited, status=1/FAILURE
Jul 24 22:00:41 debian-svr systemd[1]: bind9.service: Failed with result 'exit-code'.

Ich verzweifel langsam daran. Die Rechte sind korrekt angegeben alles. Ich komme einfach nicht darauf wo der Fehler liegen könnte. Ich bräuchte einmal eure Ideen zu einem Lösungsansatz...

[bluestar]

Deinem Log nach läuft dein bind in einer Changeroot Umgebung und da scheinen die Rechte nicht zu passen.

[Blacky2019]

Es lief ja vorher alles sauber. Erst nach dem Upgrade hat der Bind Probleme gemacht

[MSfree]

Es lief ja vorher alles sauber.

Was ist denn das für ein Argument?

Die Rechte sind korrekt angegeben alles.

Was meinst du mit "alles"?

Und wenn im Log

Code: Alles auswählen

Jul 24 22:00:41 debian-svr named[4377]: open: /etc/bind/named.conf: permission denied

steht, sind die Rechte ganz offensichtlich nicht richtig gesetzt.

Was gibt

Code: Alles auswählen

ls -ld /etc/bind

aus?

Was gibt

Code: Alles auswählen

ls -l /etc/bind

aus?

[Greifensteiner]

siehe nächster Beitrag ...
sorry
Greifensteiner

[Greifensteiner]

Ich habe die selbe Konfiguration am Laufen und hatte auch dasselbe Problem.

Es liegt an apparmor. Kurze Zeit später bekomme ich im /var/log/syslog folgende Fehlermeldung:

Code: Alles auswählen

Jul 30 19:53:39 e6 kernel: [ 1956.352371] audit: type=1400 audit(1564509219.037:22): apparmor="DENIED" operation="open" profile="/usr/sbin/named" name="/var/bind9/chroot/etc/bind/named.conf" pid=6332 comm="named" requested_mask="r" denied_mask="r" fsuid=120 ouid=120

Ich habe letztendlich apparmor deinstalliert (Reboot ist notwendig, da offenbar eine Anwendung die auf Kernel-Ebene läuft). Man müsste die Standardkonfiguration für bind9 in apparmor anpassen, da die chroot-Verzeichnisse woanders liegen, als die Standardverzeichnisse. Damit möchte ich mich derzeit allerdings nicht beschäftigen.

Dann hing ich im nächsten Schritt: der named-Server läuft für ca. 1-2 Minuten, danach macht er ein shutdown. ps zeigt den Prozess bis dahin laufend, ebenfalls zeigt netstat dass bis dahin auf Port 53 gelauscht wird. Offenbar lauft jetzt systemd in ein Timeout und stoppt den daemon wieder:

Code: Alles auswählen

Jul 30 20:34:46 e6 systemd[1]: bind9.service: Start operation timed out. Terminating.

Um das Timeout bei systemd zu umgehen habe ich in der Datei /lib/systemd/system/bind9.service den Type von forking auf simple umgestellt:

Code: Alles auswählen

[Unit]
Description=BIND Domain Name Server
Documentation=man:named(8)
After=network.target
Wants=nss-lookup.target
Before=nss-lookup.target

[Service]
Type=simple
#Type=forking
EnvironmentFile=-/etc/default/bind9
ExecStart=/usr/sbin/named $OPTIONS
ExecReload=/usr/sbin/rndc reload
ExecStop=/usr/sbin/rndc stop

[Install]
WantedBy=multi-user.target

Hinweis: ich kenne mich (noch immer) zu wenig mit systemd aus, um genau zu verstehen, was damit geändert wurde. Ich muss das alles erst nachlesen. Bitte daher den letzten Hinweis mit Bedacht einsetzen.

HTH
Greifensteiner

[Greifensteiner]

So, ein wenig nachgelesen.

Bei mir starten gemäß der Datei /etc/systemd/system/bind9.service.d/chroot.conf

Code: Alles auswählen

[Service]
ExecStart=
ExecStart=/usr/sbin/named  -f -u bind -t /var/bind9/chroot

der named im Vordergrund (-f).

Nimmt man das -f weg, kann man auch mit Type=forking statt Type=simple starten, was offenbar mehr Infos über systemctl bei Konfigurationsfehlern bringt.

Infos interpretiert aus https://bugs.debian.org/cgi-bin/bugrepo ... =900788#10

[simmeone]

Ich habe die selbe Konfiguration am Laufen und hatte auch dasselbe Problem.

Es liegt an apparmor. Kurze Zeit später bekomme ich im /var/log/syslog folgende Fehlermeldung:

Code: Alles auswählen

Jul 30 19:53:39 e6 kernel: [ 1956.352371] audit: type=1400 audit(1564509219.037:22): apparmor="DENIED" operation="open" profile="/usr/sbin/named" name="/var/bind9/chroot/etc/bind/named.conf" pid=6332 comm="named" requested_mask="r" denied_mask="r" fsuid=120 ouid=120

Ich habe letztendlich apparmor deinstalliert (Reboot ist notwendig, da offenbar eine Anwendung die auf Kernel-Ebene läuft). Man müsste die Standardkonfiguration für bind9 in apparmor anpassen, da die chroot-Verzeichnisse woanders liegen, als die Standardverzeichnisse. Damit möchte ich mich derzeit allerdings nicht beschäftigen.

Dann hing ich im nächsten Schritt: der named-Server läuft für ca. 1-2 Minuten, danach macht er ein shutdown. ps zeigt den Prozess bis dahin laufend, ebenfalls zeigt netstat dass bis dahin auf Port 53 gelauscht wird. Offenbar lauft jetzt systemd in ein Timeout und stoppt den daemon wieder:

Code: Alles auswählen

Jul 30 20:34:46 e6 systemd[1]: bind9.service: Start operation timed out. Terminating.

Um das Timeout bei systemd zu umgehen habe ich in der Datei /lib/systemd/system/bind9.service den Type von forking auf simple umgestellt:

Code: Alles auswählen

[Unit]
Description=BIND Domain Name Server
Documentation=man:named(8)
After=network.target
Wants=nss-lookup.target
Before=nss-lookup.target

[Service]
Type=simple
#Type=forking
EnvironmentFile=-/etc/default/bind9
ExecStart=/usr/sbin/named $OPTIONS
ExecReload=/usr/sbin/rndc reload
ExecStop=/usr/sbin/rndc stop

[Install]
WantedBy=multi-user.target

Hinweis: ich kenne mich (noch immer) zu wenig mit systemd aus, um genau zu verstehen, was damit geändert wurde. Ich muss das alles erst nachlesen. Bitte daher den letzten Hinweis mit Bedacht einsetzen.

HTH
Greifensteiner

Im Debian Wiki ist das ganz gut beschrieben, wie man AppArmor anpassen muß, falls der bind Chrooted läuft: https://wiki.debian.org/Bind9 - ziemlich weit nach unten scrollen oder auf der Seite nach AppArmor suchen.