FreeBSD 11.0 BIND 9.9

[wien]

Всем порядочным здравия!

Есть небольшие затруднения в связке FreeBSD 11.0 и BIND 9.9, а именно с записью логов.

Что имеем:
uname -a

Код: Выделить всё

FreeBSD office.gateway 11.0-RELEASE-p8 FreeBSD 11.0-RELEASE-p8 #0: Thu Apr  6 19:22:31 MSK 2017     root@Gateway:/usr/obj/usr/src/sys/GATEWAY1.0  i386

named -V

Код: Выделить всё

BIND 9.9.9-P6 (Extended Support Version) <id:67d38a6>
running on FreeBSD i386 11.0-RELEASE-p8 FreeBSD 11.0-RELEASE-p8 #0: Thu Apr  6 19:22:31 MSK 2017     root@Gateway:/usr/obj/usr/src/sys/GATEWAY1.0
built by make with '--localstatedir=/var' '--disable-linux-caps' '--disable-symtable' '--with-randomdev=/dev/random' '--with-libxml2=/usr/local' '--with-readline=-L/usr/local/lib -ledit' '--with-dlopen=yes' '--sysconfdir=/usr/local/etc/namedb' '--disable-fetchlimit' '--disable-filter-aaaa' '--disable-fixed-rrset' '--without-gost' '--with-idn=/usr/local' '--enable-ipv6' '--disable-largefile' '--disable-newstats' '--without-python' '--disable-querytrace' '--enable-rpz-nsdname' '--enable-rpz-nsip' '--enable-rrl' 'STD_CDEFINES=-DDIG_SIGCHASE=1' '--with-openssl=/usr' '--without-gssapi' '--with-dlz-filesystem=yes' '--enable-threads' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--build=i386-portbld-freebsd11.0' 'build_alias=i386-portbld-freebsd11.0' 'CC=cc' 'CFLAGS=-O2 -pipe -DLIBICONV_PLUG -fstack-protector -isystem /usr/local/include -fno-strict-aliasing' 'LDFLAGS= -fstack-protector' 'LIBS=-L/usr/local/lib' 'CPPFLAGS=-DLIBICONV_PLUG -isystem /usr/local/include' 'CPP=cpp'
compiled by CLANG 4.2.1 Compatible FreeBSD Clang 3.8.0 (tags/RELEASE_380/final 262564)
compiled with OpenSSL version: OpenSSL 1.0.2k-freebsd  26 Jan 2017
linked to OpenSSL version: OpenSSL 1.0.2k-freebsd  26 Jan 2017
compiled with libxml2 version: 2.9.4
linked to libxml2 version: 20904

cat /usr/local/etc/mtree/BIND.chroot.dist

Код: Выделить всё

# $FreeBSD: releng/9.3/etc/mtree/BIND.chroot.dist 200563 2009-12-15 05:14:39Z dugb $
#
# Please see the file src/etc/mtree/README before making changes to this file.
#

/set type=dir uname=bind gname=wheel mode=0755
.
    dev             mode=0555
    ..
    etc
        namedb uname=bind mode=0500
            dynamic uname=bind mode=0700
            ..
            master uname=bind mode=0500
            ..
            slave   uname=bind mode=0700
            ..
            working uname=bind mode=0700
            ..
        ..
    ..
/set type=dir uname=bind gname=wheel mode=0755
    var             uname=root
        dump
        ..
        log
        ..
        run
            named
            ..
        ..
        stats
        ..
    ..
..

ls -la /var/log/named/

Код: Выделить всё

total 8
drw-rw-r--  2 bind  wheel   512 Apr 13 10:49 .
drwxr-xr-x  7 root  wheel  1024 Apr 13 03:07 ..
-rw-rw-r--  1 bind  wheel     0 Apr 10 17:16 named-lamers.log
-rw-rw-r--  1 bind  wheel     0 Apr 10 17:15 named-security.log
-rw-rw-r--  1 bind  wheel     0 Apr 10 17:15 named-transfer.log
-rw-rw-r--  1 bind  wheel     0 Apr 13 10:49 named.log

часть конфига /usr/local/etc/namedb/named.conf

Код: Выделить всё

options {
        // All file and path names are relative to the chroot directory,
        // if any, and should be fully qualified.
        directory       "/usr/local/etc/namedb/working";
        pid-file        "/var/run/named/pid";
        dump-file       "/var/dump/named_dump.db";
        statistics-file "/var/stats/named.stats";

//      listen-on       { 127.0.0.1; };
//      listen-on-v6    { ::1; };
	disable-empty-zone "255.255.255.255.IN-ADDR.ARPA";
        disable-empty-zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA";
        disable-empty-zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA";
/*
        forwarders {
                10.0.70.1;
        };
*/
//      forward only;
//      include "/usr/local/etc/namedb/auto_forward.conf";
// Access Control Lists
acl internals { 10.0.0.0/24; 192.168.0.0/32; };
acl local { 127.0.0.1; };
acl externals { any; };

.................... вырезаны стандарнтые зоны конфига ....................

zone "gateway" {
    type master;
    file "/usr/local/etc/namedb/master/gateway";
    allow-query { internals; local; };
};
/*
logging {
        channel default {
        file "/var/log/named/named.log" versions 3 size 2m;
        severity info;
        print-time yes;
        print-category yes;
        };
        channel security {
        file "/var/log/named/named-security.log" versions 3 size 2m;
        severity info;
        print-time yes;
        print-category yes;
        };
        channel transfer {
        file "/var/log/named/named-transfer.log" versions 3 size 2m;
        severity info;
        print-time yes;
        print-category yes;
        };
        channel lame {
        file "/var/log/named/named-lamers.log" versions 3 size 2m;
        severity info;
        print-time yes;
        print-category yes;
        };
        category default { default; }; 
        category security { security; }; 
        category xfer-in { transfer; }; 
        category xfer-out { transfer; }; 
        category notify { transfer; }; 
        category lame-servers { lame; }; 

};
*/

В такой конфигурации все работает, но без логов, а очень хочется. Если я только раскомментирую секцию logging то BIND не стартует и ругается:

Код: Выделить всё

Apr 12 22:09:20 office named[11618]: ----------------------------------------------------
Apr 12 22:09:20 office named[11618]: BIND 9 is maintained by Internet Systems Consortium,
Apr 12 22:09:20 office named[11618]: Inc. (ISC), a non-profit 501(c)(3) public-benefit
Apr 12 22:09:20 office named[11618]: corporation.  Support and training for BIND 9 are
Apr 12 22:09:20 office named[11618]: available at https://www.isc.org/support
Apr 12 22:09:20 office named[11618]: ----------------------------------------------------
Apr 12 22:09:20 office named[11618]: command channel listening on 127.0.0.1#953
Apr 12 22:09:20 office named[11618]: command channel listening on ::1#953
Apr 12 22:09:20 office named[11618]: isc_file_isplainfile '/var/log/named/named.log' failed: permission denied
Apr 12 22:09:20 office named[11618]: configuring logging: permission denied
Apr 12 22:09:20 office named[11618]: loading configuration: permission denied
Apr 12 22:09:20 office named[11618]: exiting (due to fatal error)
Apr 12 22:09:20 office sancho: /usr/local/etc/rc.d/named: WARNING: failed to start named

Прошу вашей помощи, коллеги ИТшники

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[guest]

Всем порядочным здравия!

Есть небольшие затруднения в связке FreeBSD 11.0 и BIND 9.9, а именно с записью логов.

неудивительно:

ls -la /var/log/named/
total 8
drw-rw-r-- 2 bind wheel 512 Apr 13 10:49 .
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^- ЭТО КАК?
drwxr-xr-x 7 root wheel 1024 Apr 13 03:07 ..
-rw-rw-r-- 1 bind wheel 0 Apr 10 17:16 named-lamers.log
-rw-rw-r-- 1 bind wheel 0 Apr 10 17:15 named-security.log
-rw-rw-r-- 1 bind wheel 0 Apr 10 17:15 named-transfer.log
-rw-rw-r-- 1 bind wheel 0 Apr 13 10:49 named.log[/code]

Apr 12 22:09:20 office named[11618]: isc_file_isplainfile '/var/log/named/named.log' failed: permission denied
Apr 12 22:09:20 office named[11618]: configuring logging: permission denied
Apr 12 22:09:20 office named[11618]: loading configuration: permission denied
Apr 12 22:09:20 office named[11618]: exiting (due to fatal error)
Apr 12 22:09:20 office sancho: /usr/local/etc/rc.d/named: WARNING: failed to start named[/code]

Прошу вашей помощи, коллеги ИТшники

"permission denied" - перевести?

ps. то что named_uid="bind" - мы должны сообразить? либо директория исполняемая, либо запускайте
named от root'а, ничего страшного в этом нет.

[wien]

"permission denied" - перевести?

ps. то что named_uid="bind" - мы должны сообразить? либо директория исполняемая, либо запускайте
named от root'а, ничего страшного в этом нет.

Бьюсь второй день, первое, что попробовал сделать:

Код: Выделить всё

chmod 777 /var/log/named/named.conf
chown bind /var/log/named/named.conf

Результат такой же.
Раньше, когда демон BIND входил в состав FreeBSD, он запускался с параметром -t /var/named, т.е. в chroot окружении. Это я тоже пробовал сделать, создал руками /var/named, внутри создал необходимые папки (было откуда скопировать иерархию), но результат снова неудачный.

От рута попробую, спасибо.

[guest]

"permission denied" - перевести?

ps. то что named_uid="bind" - мы должны сообразить? либо директория исполняемая, либо запускайте
named от root'а, ничего страшного в этом нет.

Бьюсь второй день, первое, что попробовал сделать:

Код: Выделить всё

chmod 777 /var/log/named/named.conf
chown bind /var/log/named/named.conf

Результат такой же.
Раньше, когда демон BIND входил в состав FreeBSD, он запускался с параметром -t /var/named, т.е. в chroot окружении. Это я тоже пробовал сделать, создал руками /var/named, внутри создал необходимые папки (было откуда скопировать иерархию), но результат снова неудачный.

От рута попробую, спасибо.

На кой Вам /usr/local/etc/mtree/BIND.chroot.dist от releng9 ?!
из порта ставится адаптивный и по нему все читается из .dist про /var и про /usr/local/etc/namedb - ...local.dist

Читать следует внимательно:
- stop bind
- если запускаем с named_uid=bind:
# chown bind:wheel /var/log/named
# chmod 755 /var/log/named
# chown -R bind:wheel /var/log/named

верхнее делал под себя, давно (не важно что в jails):

Код: Выделить всё

[host]/jails/dns/etc > grep ^named rc.conf
named_enable="YES"
named_uid="bind"
[host]/jails/dns/etc >

[host]/jails/dns > ls -la var/log/ | grep named
drwxr-xr-x   2 bind  wheel     512 Dec 13 00:00 named
[host]/jails/dns > ls -la var/log/named/
total 2338144
drwxr-xr-x   2 bind  wheel         512 Dec 13 00:00 .
drwxr-xr-x  10 root  wheel        2048 Dec 13 00:03 ..
-rw-r--r--   1 bind  bind        52434 Dec 13 18:25 named.log
-rw-r--r--   1 bind  bind         2227 Dec 13 00:00 named.log.0.bz2
-rw-r--r--   1 bind  bind   1034197386 Dec 13 18:27 query.log
-rw-r--r--   1 bind  bind   1359282010 Dec 13 00:00 query.log.0
[host]/jails/dns >

- start named

Ничего сложного там нет, необходимый минимум понимания chmod/chown file/dir mode and permissions

По памяти, порт изначально приспособлен для запуска от root'а - см mtree, можно запускать со сменой uid,
но порт, точнее скрипт запуска, не был адаптирован под запуск с chroot, свежий - не смотрел.

Ну а mtree для справки или для восстановления, если испортили chown/chmod - команды расписаны прям в mtree (man mtree)

[wien]

Благодарю Вас за ответ, к серверу удаленно подключусь после рабочего дня, чтобы своими действиями не нарушить работу офиса:) По результатам отпишусь.

[wien]

Огромнейшее спасибо тебе, после вот таких телодвижений заработало:

Код: Выделить всё

# chown bind:wheel /var/log/named
# chmod 755 /var/log/named
# chown -R bind:wheel /var/log/named

Логи пишутся, зоны загружаются

Но мучает вопрос, почему я когда делал

Код: Выделить всё

chmod 777 /var/log/named/named.conf
chown bind /var/log/named/named.conf

не заработало?Получается и на саму папку /var/log/named тоже было важно выставить права... вот тут похоже и была собака зарыта

[guest]

Огромнейшее спасибо тебе, после вот таких телодвижений заработало:

Код: Выделить всё

# chown bind:wheel /var/log/named
# chmod 755 /var/log/named
# chown -R bind:wheel /var/log/named

Логи пишутся, зоны загружаются

Но мучает вопрос, почему я когда делал

Код: Выделить всё

chmod 777 /var/log/named/named.conf
chown bind /var/log/named/named.conf

не заработало?Получается и на саму папку /var/log/named тоже было важно выставить права... вот тут похоже и была собака зарыта

важное: не привыкайте к chmod 777 - кроме того что это дурной тон и огромная дырища в security, может и не спасти.

Подтяните: необходимый минимум понимания chmod/chown file/dir mode and permissions
и все вопросы уйдут, кроме прочитать про указанное - попробовать практически, особенно путаются с chmod на directories,
если с "w" обычно все ясно, то сумма "dr-x" - и вложенные внутри файлы с "r-x" или "--x" вызывают путаницу в головах у новичков.

Главная и первая беда: неумение самостоятельно разбираться по документации и manuals!
Привычка искать готовые руководства, зачастую, тупо копируя и не пропуская через серое вещество.

Вторая беда большинства пользователей и администраторов, привычка к готовым шаблонам в Linux и в меньшей
степени в FreeBSD, в том смысле что в FreeBSD меньше готовых шаблонов:
- выполнил установку, подправил конфиг, запустил - работает
Как только шаблон не полный или нужно что-то доделать руками - проблемы.

Как только осознаете и преодолете верхние беды, все пойдет как по маслу и поймете что такое man's в Unix'ах!

ps. named.conf в /usr/local/etc/namedb... Выше у Вас видимо очепятка, но это говорит о том
что до сих пор не прониклись архитектурой bind.

pps. В первом reply уже был ответ на Вашу проблему - невнимательность или неумение обдумать.

В остальном - удачи.