私のUbuntuサーバーにBINDバージョン9.19.16がインストールされています。ただし、BIND サービスは開始されません。しようとするとsystemctl start bind9
1分かかり、次のエラーが発生します。
Job for named.service failed because a timeout was exceeded.
表示状態を使用すると、次の情報がsystemctl status bind9
表示されます。
● named.service - BIND Domain Name Server
Loaded: loaded (/lib/systemd/system/named.service; enabled; vendor preset: enabled)
Active: activating (start) since Tue 2023-09-05 11:30:19 BST; 3s ago
Docs: man:named(8)
Main PID: 10461 (named)
Tasks: 3 (limit: 1096)
Memory: 3.5M
CGroup: /system.slice/named.service
└─10461 /usr/sbin/named -f -u bind
Sep 05 11:30:19 ip-xxx-xxx-xxx-xxx named[10461]: command channel listening on ::1#953
Sep 05 11:30:19 ip-xxx-xxx-xxx-xxx named[10461]: managed-keys-zone: loaded serial 135
Sep 05 11:30:19 ip-xxx-xxx-xxx-xxx named[10461]: zone localhost/IN: loaded serial 2
Sep 05 11:30:19 ip-xxx-xxx-xxx-xxx named[10461]: zone 0.in-addr.arpa/IN: loaded serial 1
Sep 05 11:30:19 ip-xxx-xxx-xxx-xxx named[10461]: zone 127.in-addr.arpa/IN: loaded serial 1
Sep 05 11:30:19 ip-xxx-xxx-xxx-xxx named[10461]: zone 255.in-addr.arpa/IN: loaded serial 1
Sep 05 11:30:19 ip-xxx-xxx-xxx-xxx named[10461]: all zones loaded
Sep 05 11:30:19 ip-xxx-xxx-xxx-xxx named[10461]: FIPS mode is disabled
Sep 05 11:30:19 ip-xxx-xxx-xxx-xxx named[10461]: running
Sep 05 11:30:19 ip-xxx-xxx-xxx-xxx named[10461]: managed-keys-zone: Key 20326 for zone . is now trusted (acceptance timer complete)
どんなに待っても、状態は活動状態のままである。入力すると、journalctl -xe
衣類に誤りがあることがわかります。
audit[10470]: AVC apparmor="DENIED" operation="sendmsg" profile="/usr/sbin/named" name="/run/systemd/notify" pid=10470 comm="named" requested_mask="w" denied_mask="w" fsuid=113 ouid=0
/etc/apparmor.d/usr.sbin.named
だから、次の行を含むようにファイルを編集し、/run/systemd/notify w,
apparmorとBIND9を再起動しましたが、まだ同じエラーが発生しました。何が問題なのかご存知ですか?
答え1
この場合の問題は、 /etc/apparmor.d/usr.sbin.named
ファイルのプロファイル定義が間違っていることです。ファイルを次のように変更します。
-profile named /usr/sbin/named flags=(attach_disconnected, complain) {
+profile /usr/sbin/named flags=(attach_disconnected) {
そして走るapparmor_parser -r /etc/apparmor.d/usr.sbin.named
衣類の構成ファイルに関する追加情報:
https://doc.opensuse.org/documentation/leap/security/html/book-security/cha-apparmor-profiles.html