DNS Server Unbound - Logging failed - Debian 11.4

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
kaioshin87
Beiträge: 6
Registriert: 14.02.2015 10:06:41

DNS Server Unbound - Logging failed - Debian 11.4

Beitrag von kaioshin87 » 19.08.2022 23:32:28

Hallo zusammen,

aktuell habe ich das Problem, dass ich beim DNS-Server Unbound das Logging nicht zum Laufen bekomme. Habt ihr ggf. eine Idee, wo hier das Problem liegen könnte? Wahrscheinlich ist das Problem wieder 50-60cm vor dem Monitor. :-) Auf meinem Raspberry Pi 4 läuft das Setup einwandfrei, aber auf einem Lenovo ThinkCentre M710q nicht.

Betriebssystem: Debian 11.4 Bullseye amd64

Meine Installation/Konfiguration:

Code: Alles auswählen

# Installation
root@host:~# apt install unbound -y 

# Konfiguration
root@host:~# unbound-anchor

root@host:~# vim /etc/unbound/unbound.conf.d/root-auto-trust-anchor-file.conf
    auto-trust-anchor-file: "/var/lib/unbound/root.key"

root@host:~# vim /etc/unbound/unbound.conf.d/custom-unbound.conf
	server:
		verbosity: 1
		chroot: ""
		logfile: "/var/log/unbound.log"
		pidfile: "/var/run/unbound.pid"
		log-queries: yes
		interface: 192.168.0.254
		interface: 127.0.0.1
		port: 53
		do-ip4: yes
		do-ip6: no
		do-udp: yes
		do-tcp: yes
		access-control: 192.168.0.0/24 allow
		root-hints: "/etc/unbound/root.hints"
		hide-identity: yes
		hide-version: yes
		harden-glue: yes
		harden-dnssec-stripped: yes
		use-caps-for-id: yes
		cache-min-ttl: 300
		cache-max-ttl: 86400
		prefetch: yes
		num-threads: 2

# Download root.hints
root@host:~# curl -o /etc/unbound/root.hints https://www.internic.net/domain/named.cache

# Konfiguration testen
root@host:~# unbound-checkconf
	unbound-checkconf: no errors in /etc/unbound/unbound.conf

# Dienst neustarten
root@host:~# systemctl restart unbound.service

# Nameserver testen
root@host:~# dig @127.0.0.1 denic.de +short +dnssec
	81.91.170.12
	A 8 2 3600 20211223141311 20211209124311 50313 denic.de. CKNLPGoD1c84c7UYzjc9IwGH5PwDgdMtdKiBBEDuHJ1tvCINUTfOJniR 4TMmqyMKsH/JhBqx/CrrIPdELLDoPJg5Znm1kOvpBPTakm5vHPu/2FqT AJAg3p9v2SJXN7FwkLO+rWIn/p25/dw0A/JbzqxZ+mwZtQX17znF70GQ 8XE=

# Log-Datei anlegen
root@host:~# touch /var/log/unbound.log
root@host:~# chown unbound:unbound /var/log/unbound.log

Der Server selbst funktioniert einwandfrei, aber das Logging funktioniert nicht. Die Datei /var/log/unbound.log bleibt leer.
Laut Journalctl gibt es folgendes Problem:

Code: Alles auswählen

root@host:~# journalctl -xe
	Aug 19 23:09:55 srv01 audit[1662]: AVC apparmor="DENIED" operation="open" profile="/usr/sbin/unbound" name="/var/log/unbound.log" pid=1662 comm=">
	Aug 19 23:09:55 srv01 unbound[1662]: [1660943395] unbound[1662:0] error: Could not open logfile /var/log/unbound.log: Permission denied
	Aug 19 23:09:55 srv01 unbound[1662]: [1660943395] unbound[1662:0] notice: init module 0: subnet
	Aug 19 23:09:55 srv01 unbound[1662]: [1660943395] unbound[1662:0] notice: init module 1: validator
	Aug 19 23:09:55 srv01 unbound[1662]: [1660943395] unbound[1662:0] notice: init module 2: iterator
	Aug 19 23:09:55 srv01 kernel: audit: type=1400 audit(1660943395.898:20): apparmor="DENIED" operation="open" profile="/usr/sbin/unbound" name="/va>
	Aug 19 23:09:55 srv01 unbound[1662]: [1660943395] unbound[1662:0] info: start of service (unbound 1.13.1).
	Aug 19 23:09:55 srv01 systemd[1]: Started Unbound DNS server.

Code: Alles auswählen

# Berechtigung anpassen
root@host:~# chmod 777 /var/log/unbound.log

root@host:~# ls -alh /var/log/unbound.log
	-rwxrwxrwx 1 unbound unbound 0 Aug 19 23:08 /var/log/unbound.log
Habt ihr eine Idee, was hier falsch laufen könnte?

Schon einmal vielen Dank für die Antworten. :-)

Gruß
kaioshin87
Zuletzt geändert von kaioshin87 am 20.08.2022 22:08:36, insgesamt 1-mal geändert.

DeletedUserReAsG

Re: DNS Server Unbound - Logging failed - Debian 11.4

Beitrag von DeletedUserReAsG » 20.08.2022 08:15:49

kaioshin87 hat geschrieben: ↑ zum Beitrag ↑
19.08.2022 23:32:28
Habt ihr eine Idee, was hier falsch laufen könnte?
Steht ja eigentlich im Klartext da:
kaioshin87 hat geschrieben: ↑ zum Beitrag ↑
19.08.2022 23:32:28

Code: Alles auswählen

Aug 19 23:09:55 srv01 kernel: audit: type=1400 audit(1660943395.898:20): apparmor="DENIED" operation="open" profile="/usr/sbin/unbound" name="/va>
OT:
Würd’s dir viel ausmachen, deine Beiträge lesbar zu formatieren, also z.B. Ausgaben zwischen [‎code] und [/code] zu pasten?

kaioshin87
Beiträge: 6
Registriert: 14.02.2015 10:06:41

Re: DNS Server Unbound - Logging failed - Debian 11.4

Beitrag von kaioshin87 » 20.08.2022 22:16:40

niemand hat geschrieben: ↑ zum Beitrag ↑
20.08.2022 08:15:49
OT:
Würd’s dir viel ausmachen, deine Beiträge lesbar zu formatieren, also z.B. Ausgaben zwischen [‎code] und [/code] zu pasten?
Ich habe dir zu liebe den Beitrag noch einmal angepasst. :-)
niemand hat geschrieben: ↑ zum Beitrag ↑
20.08.2022 08:15:49
Steht ja eigentlich im Klartext da:
kaioshin87 hat geschrieben: ↑ zum Beitrag ↑
19.08.2022 23:32:28

Code: Alles auswählen

Aug 19 23:09:55 srv01 kernel: audit: type=1400 audit(1660943395.898:20): apparmor="DENIED" operation="open" profile="/usr/sbin/unbound" name="/va>
Auch wenn der Fehler im Klartext dort steht, habe ich bisher leider keine Lösung für das Problem gefunden. Daher meine Frage:
kaioshin87 hat geschrieben: ↑ zum Beitrag ↑
19.08.2022 23:32:28

Code: Alles auswählen

Habt ihr eine Idee, was hier falsch laufen könnte?

DeletedUserReAsG

Re: DNS Server Unbound - Logging failed - Debian 11.4

Beitrag von DeletedUserReAsG » 20.08.2022 23:16:32

Im Klartext steht dort, dass deine AppArmor-Konfiguration den Zugriff auf diese Datei unterbindet. Die Lösung kann also nur sein, besagte Konfiguration anzupassen. Und setz’ die Rechte der Datei wieder richtig, geht sonst auch schief.

kaioshin87
Beiträge: 6
Registriert: 14.02.2015 10:06:41

Re: DNS Server Unbound - Logging failed - Debian 11.4

Beitrag von kaioshin87 » 21.08.2022 00:54:35

Vielen Dank für die Hilfe, aber die Lösung habe ich in einem anderen Forum erhalten. Hier die Lösung, die mir weiter geholfen hat:

Code: Alles auswählen

# Berechtigungen AppArmor anpassen
root@host:~# vim /etc/apparmor.d/local/usr.sbin.unbound
	// Wert hinzufügen
	/var/log/unbound.log rw,

# Konfiguration AppArmor laden
root@host:~# apparmor_parser -r /etc/apparmor.d/usr.sbin.unbound

# Dienst neustarten
 root@host:~# systemctl restart apparmor.service

DeletedUserReAsG

Re: DNS Server Unbound - Logging failed - Debian 11.4

Beitrag von DeletedUserReAsG » 21.08.2022 08:35:49

kaioshin87 hat geschrieben: ↑ zum Beitrag ↑
21.08.2022 00:54:35
aber die Lösung habe ich in einem anderen Forum erhalten.
Ja – es ist zumindest nicht mein Stil, Leuten, die zu bequem sind, sich mal selbst an der Lösung ihres Problems zu beteiligen, alles vorzukauen – gerade wenn es sowas Triviales ist, bei dem alle notwendigen Informationen im Klartext vorliegen.

Nun denn, viel Spaß noch mit deinem System – bis zum nächsten simplen Problem, dessen Lösung du an Andere delegieren und dann tagelang warten musst, statt in wenigen Minuten selbst nachzuschauen – könnten dann ja schon die nun kaputten Rechte der Datei sein, die dir demnächst auf die Füße fallen … ;)

PS: falls du mal aus dieser Falle herauskommen wollen solltest: in diesem Fall wäre „apparmor permissions“ ein Suchstring, mit dem bei den gängigen Suchmaschinen nahezu jedes einzelne Suchergebnis auf der ersten Seite zur Lösung geeignet gewesen wäre. Die Projektdoku wär’s sowieso.

kaioshin87
Beiträge: 6
Registriert: 14.02.2015 10:06:41

Re: DNS Server Unbound - Logging failed - Debian 11.4

Beitrag von kaioshin87 » 21.08.2022 11:43:01

Wenn es nicht dein Stil ist, bestimmten Leuten helfen zu wollen, dann spare dir doch deine Beiträge komplett. Niemand nötigt dich zu antworten. Daher kann ich deinen Standpunkt nicht nachvollziehen. Das Einzige, was ich jetzt hier als Erfahrung mitnehme und andere jetzt auch nachlesen können, ist, dass man in diesem Forum keine schnelle und adäquate Lösung erhalten kann, stattdessen bekommt man unqualifizierte Predigten.

DeletedUserReAsG

Re: DNS Server Unbound - Logging failed - Debian 11.4

Beitrag von DeletedUserReAsG » 21.08.2022 14:15:49

kaioshin87 hat geschrieben: ↑ zum Beitrag ↑
21.08.2022 11:43:01
Wenn es nicht dein Stil ist, bestimmten Leuten helfen zu wollen, dann spare dir doch deine Beiträge komplett.
Du missverstehst offensichtlich: es ist nicht mein Stil, den Leuten nicht zu helfen. Dir ist mit der Copypasta nicht nachhaltig geholfen worden, im Gegenteil: beim nächsten ebenso trivialen Problem wirst du wieder hilflos davorstehen. Hättest du die Hilfe hier angenommen, wäre das vermutlich anders – aber jeder, wie er mag.

Nur eins solltest du berücksichtigen: dies ist kein kommerzielles Supportforum, in dem man irgendwelche Leistungen einfordern könnte.

Antworten