Republication d'article : source

Dans les logs, tout plein de:

[mer. jan 10 22:49:11 2019] audit: type=1400 audit(1548884940.162:98): apparmor="DENIED" operation="mknod" profile="/usr/sbin/named" name="/etc/bind/SLAVE/tmp-8tAieH8oKP" pid=716 comm="isc-worker0000" requested_mask="c" denied_mask="c" fsuid=113 ouid=113

Sources:

• https://wiki.debian.org/AppArmor/HowToUse
• https://debian-handbook.info/browse/fr-FR/stable/sect.apparmor.html

Voyons l’état des applications:

# aa-status 
apparmor module is loaded.
7 profiles are loaded.
7 profiles are in enforce mode.
   /usr/bin/man
   /usr/sbin/named
   /usr/sbin/ntpd
   man_filter
   man_groff
   nvidia_modprobe
   nvidia_modprobe//kmod
0 profiles are in complain mode.
2 processes have profiles defined.
2 processes are in enforce mode.
   /usr/sbin/named (716) 
   /usr/sbin/ntpd (722) 
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.

Pour éliminer ce message, et certainement mieux faire fonctionner Bind/Named dans un environnement sécurisé, j’ai modifié le fichier /etc/apparmor.d/usr.sbin.named en ajoutant (extrait):

...
  /etc/bind/** r,
  # --- TJ -----------
  /etc/bind/SLAVE/* rw,
  # ------------------
  /var/lib/bind/** rw,
...

… ce qui autorise les écritures dans le dossier /etc/bind/SLAVE/ .

Il faut appliquer les modifications comme ceci

# apparmor_parser -r /etc/apparmor.d/usr.sbin.named

Finalement, le mieux est peut être simplement de s’inspirer de la configuration apparmor et d’utiliser les répertoires laisser en mode rw …

Dans ce cas, il suffit de déplacer le dossier /etc/bind/SLAVE dans le dossier /var/lib/bind/SLAVE . Évidement , cela implique d’adapter aussi la configuration de bind partout où c’est nécessaire.

Et en pratique:

# cd /etc/bind
# systemctl stop bind9
# mv SLAVE /var/lib/bind/
# sed -r -e 's#/etc/bind/SLAVE/#/var/lib/bind/SLAVE/#' -i named.conf.local 
# systemctl start bind9

Voila.