Debian 9 bind9 Logging konfigurieren? [Gelöst]

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
jmar83
Beiträge: 962
Registriert: 20.06.2013 20:20:15
Wohnort: CH
Kontaktdaten:

Debian 9 bind9 Logging konfigurieren? [Gelöst]

Beitrag von jmar83 » 23.12.2019 20:12:39

Hallo zusammen

Funktioniert schlicht einfach nicht, diese Anleitung: https://oitibs.com/bind9-logs-on-debian-ubuntu/

Hier mein Protokoll:

Code: Alles auswählen

apt-get update && apt-get upgrade

apt-get install bind9

apt-get clean && apt-get autoremove --purge

nano /etc/bind/named.conf

...


touch /etc/bind/named.conf.log

nano /etc/bind/named.conf.log

...


mkdir /var/log/bind

chown bind:bind /var/log/bind

service bind9 restart

sobald ich es aber grösstenteils auskommentiere, dann geht der Dienst wieder:

Code: Alles auswählen

logging {
#  channel bind_log {
#    file "/var/log/bind/bind.log" versions 3 size 5m;
#    severity info;
#    print-category yes;
#    print-severity yes;
#    print-time yes;
#  };
#  category default { bind_log; };
#  category update { bind_log; };
#  category update-security { bind_log; };
#  category security { bind_log; };
#  category queries { bind_log; };
#  category lame-servers { null; };
};

So jedoch schon nicht mehr:

Code: Alles auswählen

logging {
  channel bind_log {
#    file "/var/log/bind/bind.log" versions 3 size 5m;
#    severity info;
#    print-category yes;
#    print-severity yes;
#    print-time yes;
  };
#  category default { bind_log; };
#  category update { bind_log; };
#  category update-security { bind_log; };
#  category security { bind_log; };
#  category queries { bind_log; };
#  category lame-servers { null; };
};
Meldung: `Failed to start BIND Domain Name Server.`

`service bind9 stop && service bind9 start` gibt das gleiche von sich... habe zuerst gedacht es wurde etwas nicht sauber heruntergefahren, so dass noch was läuft auf Port 53 oder so.

Wo liegt da das Problem...?
Zuletzt geändert von jmar83 am 08.01.2020 12:03:07, insgesamt 3-mal geändert.
Freundliche Grüsse, Jan

jmar83
Beiträge: 962
Registriert: 20.06.2013 20:20:15
Wohnort: CH
Kontaktdaten:

Re: Debian 9 bind9 Logging konfigurieren?

Beitrag von jmar83 » 23.12.2019 20:30:41

In der offiziellen Doku scheint nicht mal was über "named.conf" zu stehen, wenn man auf dieser Seite danach sucht dann findet man genau gar nix: https://kb.isc.org/docs/aa-01526

???

Vielleicht ist ja etwas komplett falsch an der Konfiguration so wie es die Seite https://oitibs.com/bind9-logs-on-debian-ubuntu/ beschreibt, woher soll man nun genau wissen, wo man anfangen muss..? Ich gehe dabei von der Datei `named.conf` aus...?

(Ein Produkt das schon so alt ist (bind gabs doch sicher schon zu UNIX-Zeiten in den 70ern, also fast 50 Jahre her oder so wo es entstanden ist??), sollte doch anständig dokumentiert sein..?)
Freundliche Grüsse, Jan

jmar83
Beiträge: 962
Registriert: 20.06.2013 20:20:15
Wohnort: CH
Kontaktdaten:

Re: Debian 9 bind9 Logging konfigurieren?

Beitrag von jmar83 » 24.12.2019 10:28:40

Statt mich Tage oder Wochen mit solchem Quatsch zu beschäftigen, evtl. besser das verwenden: https://mayakron.altervista.org/wikibas ... crylicHome

;-)
Freundliche Grüsse, Jan

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: Debian 9 bind9 Logging konfigurieren?

Beitrag von eggy » 24.12.2019 13:11:03

Vielleicht wäre weniger rumschimpfen und mal in die richtige Doku schauen der bessere Ansatz?
https://bind9.readthedocs.io/en/latest/reference.html

jmar83
Beiträge: 962
Registriert: 20.06.2013 20:20:15
Wohnort: CH
Kontaktdaten:

Re: Debian 9 bind9 Logging konfigurieren?

Beitrag von jmar83 » 24.12.2019 14:07:02

Na ja, vielen Dank, aber unter https://oitibs.com/bind9-logs-on-debian-ubuntu/ ist ja beschreiben wie es funktionieren sollte. Keine Ahnung, warum es bei dem geht und bei mir nicht. Hat sich wohl was geändert von Version 1.045.345r02345 nach 1.045.345r02346 oder sowas in der Art..? ;-)
Freundliche Grüsse, Jan

jmar83
Beiträge: 962
Registriert: 20.06.2013 20:20:15
Wohnort: CH
Kontaktdaten:

Re: Debian 9 bind9 Logging konfigurieren? [Gelöst]

Beitrag von jmar83 » 24.12.2019 17:00:01

"Logging konfigurieren? [Gelöst]"
...oder auch nicht (mehr), denn jetzt fangen die Ferien an - (hoffentlich) also genug Zeit, ist ja eine private Sache.


Irgendwie muss ich das Ding mit der gewünschten Konfig zum laufen kriegen. Kann ja nicht sein dass das gar nicht geht! 8)

(Und bevor ich mir wirklich noch Window$ aufsetze - hätte sogar noch ne legale Windows Server 2012 Std. R2 x64-Lizenz zuhause. Aber MS DNS ist doch primär dann sinnvoll, wenn man ein Active Directory betreibt.)
Freundliche Grüsse, Jan

jmar83
Beiträge: 962
Registriert: 20.06.2013 20:20:15
Wohnort: CH
Kontaktdaten:

Re: Debian 9 bind9 Logging konfigurieren?

Beitrag von jmar83 » 24.12.2019 17:51:32

Kleinen Schritt weitergekommen: Das funktioniert schon mal (allerdings wieder mit dem restlichen Zeugs auskommentiert):

Code: Alles auswählen

logging
{
category default { default_syslog; default_debug; };
#...
#...

...

Nun habe ich gesehen dass sich unter /var/log/bind ein Verzeichnis befindet - allesdings ohne jeglichen Inhalt.

Oder vielleicht war ich der, der das per copy/paste aus irgendwelchen Internet-Tutorials "wie man bind aufsetzt" erstellt hat...? Hmm...? ;-) Aber ich habe ja glücklicherweise ne VM, welche ich beim Projekt "DNS-Server" sicher schon 27x reverted habe... zuerst wollte ich ja den vorhandenen samba-Server nutzen um damit über Active Directory den DNS-Dienst aufzubauen...

...
Nachtrag: Nein, /var/log/bind existiert nach dem VM-Snapshop-Revert nicht mehr.
Freundliche Grüsse, Jan

jmar83
Beiträge: 962
Registriert: 20.06.2013 20:20:15
Wohnort: CH
Kontaktdaten:

Re: Debian 9 bind9 Logging konfigurieren?

Beitrag von jmar83 » 24.12.2019 18:14:44

Total hoffnungslos: Ohne file-Appender-Eintrag steht im Log (/var/log/syslog wo bind reinloggt) dass dieser fehlt:

Code: Alles auswählen

logging {
channel bind_log {
#    file "/var/log/bind/bind.log" versions 3 size 5m;
#    severity info;
#    print-category yes;
#    print-severity yes;
#    print-time yes;
};
#  category default { bind_log; };
#  category update { bind_log; };
#  category update-security { bind_log; };
#  category security { bind_log; };
#  category queries { bind_log; };
#  category lame-servers { null; };
};

Mit steht alles so im log wie es sollte, keine Probleme und gar nix. Trotzdem schlägt der Start fehl:

Code: Alles auswählen

logging {
channel bind_log {
    file "/var/log/bind/bind.log" versions 3 size 5m;
#    severity info;
#    print-category yes;
#    print-severity yes;
#    print-time yes;
};
#  category default { bind_log; };
#  category update { bind_log; };
#  category update-security { bind_log; };
#  category security { bind_log; };
#  category queries { bind_log; };
#  category lame-servers { null; };
};

...werde dann wohl mal nen Bug einreichen, spätestens dort wird man mir erklären müssen dass es wohl kein Bug, sondern ein Feature ist.
Freundliche Grüsse, Jan

Benutzeravatar
bluestar
Beiträge: 2335
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Debian 9 bind9 Logging konfigurieren?

Beitrag von bluestar » 25.12.2019 10:16:42

Was sagt den named-checkconf zu deiner Konfiguration?

jmar83
Beiträge: 962
Registriert: 20.06.2013 20:20:15
Wohnort: CH
Kontaktdaten:

Re: Debian 9 bind9 Logging konfigurieren?

Beitrag von jmar83 » 25.12.2019 18:03:42

Danke für den Tipp, werde es so schnell wie möglich anschauen.
Freundliche Grüsse, Jan

mludwig
Beiträge: 793
Registriert: 30.01.2005 19:35:04

Re: Debian 9 bind9 Logging konfigurieren?

Beitrag von mludwig » 26.12.2019 11:00:23

Ich würde vorschlagen, im Debian Wiki nachzulesen:
https://wiki.debian.org/Bind9#Debian_Jessie_and_later

Hier insbesondere den Abschnitt zu AppArmor ... dies ist in der aktuellen Debianversion per default aktiv und es gibt für Bind ein ensprechendes Profil. Damit darf bind nur vorgegebene Dateien und Pfade lesen bzw. beschreiben. Wenn du von diesen Pfaden abweichst, musst du dass AppArmor-Profil für Bind entsprechend anpassen.

jmar83
Beiträge: 962
Registriert: 20.06.2013 20:20:15
Wohnort: CH
Kontaktdaten:

Re: Debian 9 bind9 Logging konfigurieren?

Beitrag von jmar83 » 26.12.2019 14:28:17

Vielen Dank für den Beitrag!

Aktuelle Debian Version = Buster, oder?

Ich verwende aber Stretch...
Freundliche Grüsse, Jan

jmar83
Beiträge: 962
Registriert: 20.06.2013 20:20:15
Wohnort: CH
Kontaktdaten:

Re: Debian 9 bind9 Logging konfigurieren?

Beitrag von jmar83 » 26.12.2019 14:28:51

"Debian_Jessie_and_later"

Oh..
Freundliche Grüsse, Jan

Benutzeravatar
HZB
Beiträge: 486
Registriert: 22.10.2003 11:52:15
Wohnort: Wien

Re: Debian 9 bind9 Logging konfigurieren?

Beitrag von HZB » 28.12.2019 09:38:11

BTW in den Kommentaren der Seite wo Du die Config gefunden hast ist die Lösung:

Code: Alles auswählen

Yes, apparmor is the issue.

Try:-
—————–
# Site-specific additions and overrides for usr.sbin.named.
# For more details, please see /etc/apparmor.d/local/README.
# Below added to allow logging
/var/log/bind9/query.log rw,
/var/log/bind9/bind.log rw,
/var/log/bind9/debug.log rw,
/var/cache/bind/named.stats rw,
—————
In :
/etc/apparmor.d/local/usr.sbin.named

Changing the paths/filenames to suit your config.

jmar83
Beiträge: 962
Registriert: 20.06.2013 20:20:15
Wohnort: CH
Kontaktdaten:

Re: Debian 9 bind9 Logging konfigurieren?

Beitrag von jmar83 » 28.12.2019 13:06:52

Vielen vielen Dank, wenn es schnell gehen muss dann übersehe ich solche Sachen praktisch immer!! :facepalm:

Eigentlich mein Fehler - wobei der Ersteller des Beitrags diese Sachen hätte ergänzen können (und nicht nur als Kommentar stehen lassen) - es sei denn, es (das Problem mit diesem App-Armor) war zum Zeitpunkt wo der Betrag verfasst wurde mit Debian 9.x noch nicht nicht vorhanden, sondern kam erst später mit Version 9.y hinzu. (Also wenn der Beitrag z.B. explizit für Debian 9.0 vorgesehen ist)
Freundliche Grüsse, Jan

jmar83
Beiträge: 962
Registriert: 20.06.2013 20:20:15
Wohnort: CH
Kontaktdaten:

Re: Debian 9 bind9 Logging konfigurieren? [Gelöst]

Beitrag von jmar83 » 08.01.2020 12:01:29

Problem soweit gelöst - zu Testzwecken (bevor mir das AppArmor-Problem bekannt wurde) habe ich die Window$-Version von `bind` auf einer uralten Windows Server 2003 x32-VM aufgesetzt und die Konfiguration, welche auf diesem Blog vorgeschlagen wurde, übernommen. Hat sofort geklappt und läuft bis heute wunderbar und ohne jegliche Probleme.

(Denke nicht mal dass dies ein grosses Sicherheitsproblem ist, will aber hier im Debian-Forum nicht näher darauf eingehen, falscher Ort! ;-) Tatsache ist sowieso, dass dieser nur intern genutzt wird)

Aber bei Gelegenheit werd ich mir dann wieder ein Debian aufsetzen, aber ich war ca. 3 Tage (nicht ununterbrochen) an diesem Problem beschäftigt (welches eigentlich einfach zu lösen wäre mit der entspr. AppArmor-Konfig) Aber nun muss ich mal erst mindestens 3 Monate Abstand halten davon, da ich in diesen 3 Tagen eine ziemlich nachhaltige Aversion gegen "bind auf Debian" entwickelt habe... :evil:
Freundliche Grüsse, Jan

Antworten