Управление несколькими копиями Bind 9 через rndc.

[Shizik]

Есть сервер на котором надо запустить несколько копий Bind 9.7.

Всё прекрасно запускается и работает, осталось только настроить их управление через rndc.

Почитал man и сделал по примеру, заработало на одном сервере.
Решил сделать и для других подобное и поменял конфигурацию, но на другой порт не работает.

names.conf

Код: Выделить всё

key "rndc-key" {
        algorithm hmac-md5;
        secret "vjhZH4aUiBdhdPAVPsHdSQ==";
};

controls {
        inet 127.0.0.1 port 5953 allow { 127.0.0.1 }
        keys { "rndc-key"; };
};

Запускаю Bind.

Код: Выделить всё

named[2819]: command channel listening on 127.0.0.1#5953

netstat -na

Код: Выделить всё

tcp        0      0 127.0.0.1:5953              0.0.0.0:*                   LISTEN

Пытаюсь посмотреть статистику.

rndc -k /etc/named/ext/rndc.key -p 5953 status

Код: Выделить всё

rndc: connect failed: 127.0.0.1#5953: permission denied

На rndc.key права root:named 640.

Никак не могу понять, что же я делаю не так. Ключи совпадают 100%. Петля не закрыта на файрволе. Может есть другой способ управлять несколькими одновременное запущенными копиями Bind?

Спасибо.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Shizik]

Хотел бы добавить.
ОС: RHEL 6, SELinux не настроен. Трафик в lo (петля) разрешен полностью. При попытке отловить хоть что-то в tcpdump (именно при permission denied ничего не выдаёт, вообще).

[SMakc]

rndc умеет управлять несколькими серверами и приседания с портами не нужны, вот тут рекомендации по настройке работы rndc с несколькими серверами
http://www.opennet.ru/man.shtml?topic=r ... &russian=1

[Shizik]

Всё таки дело не в BIND, что-то блокирует обращение к другим портам через rndc. Так как при выполнении той же команды без запущенного BIND ошибка возникает та же permission denied. Есть предположения, что может блокировать?

iptables пустые. При выключенных эффект такой же.

Код: Выделить всё

iptables --list
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

[FiL]

У меня на Федоре работает на другом порту.
а что скажет rndc -V ?
SELinux не настроен или отключен?

[Shizik]

Код: Выделить всё

rndc -V -k /var/named/chroot/etc/named/rndc.key -p 5953 status
create memory context
create socket manager
create task manager
create task
create logging context
setting log tag
creating log channel
enabling log channel
create parser
get key
decode base64 secret
status
post event
using server 127.0.0.1 (127.0.0.1#5953)
create socket
bind socket
connect
rndc: connect failed: 127.0.0.1#5953: permission denied 

SELinux не настроен.

В принципе решил проблему тем, что прописывал не 127.0.0.1, а адрес на котором слушает BIND (тоесть 192.168.1.1, 192.168.1.2 и т.д.) и порт оставлял 953, в разрешениях указывал такой же IP-адрес таким образом работает. При указании 127.0.0.1 в разрешении, не работает.

[FiL]

если SELinux включен ( getenforce возвращает "Enforcing" ), то даже не настроенный он таки может мешать жить. Хуже того, даже в "permissive" он может мешаться. Я с ним так толком и не разобрался. Чуть шаг в сторону и хана.

У меня на 127.0.0.1 вполне работает на другом порту. Но у меня selinux disabled.

[Shizik]

FiL

Огромное спасибо! Действительно это был SELinux. В RHEL 6 он по умолчанию стоит в enforcing. Его отключение решило проблему.