[gelöst] bind9 DDNS Speicherort der Journal Files

[BerndM]

Hallo,

ich bin gerade dabei meinem Server (17Jahre alt) zu modernisieren und will jetzt DynDNS auch haben. Bin bei der Konfiguration auf eine absolute Unschönheit gestoßen und finde im Netz nicht die Lösung die ich mir wünsche.
Bind9 erstellt die Journal FIles (.jnl) da wo die Zone Datei liegt. Normalerweise liegen diese im Verzeichnis /etc/bind. Da sollte kein Dienst usw. Schreibrechte haben. Die rechte für die Dienste ist mit apparmor auch entsprechend gesetzt.

Um das Problem zu lösen habe ich die entsprechende Zone Datei in ein Verzeichnis /etc/named/zones geschoben:

Code: Alles auswählen

root@server:/root# ls /etc/bind/zones -l
insgesamt 16
-rw-r--r-- 1 bind bind  566 Mai 21 00:04 db.0.168.192
-rw-r--r-- 1 bind bind 1601 Mai 20 23:55 db.0.168.192.jnl
-rw-r--r-- 1 bind bind  938 Mai 21 00:03 db.my.local
-rw-r--r-- 1 bind bind 1694 Mai 20 23:55 db.my.local.jnl

In der Datei /etc/apparmor.d/usr.sbin.named habe ich folgende 2 Zeilen eingefügt:

Code: Alles auswählen

/etc/bind/zones/** rw,
/etc/bind/zones rw,

Soweit geht der DynDNS jetzt. Leider hat jetzt Bind9 Schreibrechte wo es nicht haben sollte. In der Datei /etc/apparmor.d/usr.sbin.named sind per default andere Verzeichnisse mir rw Rechte schon vergeben und diese existieren auch schon.

Wie kann ich Bind9 dazu bringen die Journal Files woanders abzulegen?

Grüße,
Bernd

[bluestar]

In der Standardkonfiguration von Debian liegen die Zonendateien, Journale in /var/cache/bind und somit sind die veränderbaren Daten klar von den Konfigurationsdateien getrennt.

[BerndM]

Hallo bluestar,

Danke für Deine Antwort. Den Platz kannte ich noch nicht dafür, bin aber auch noch neu mit debian.

Es geht aber um das Prinzip das kein Deamon/Server schreibrechte auf die Konfiguration selber haben darf. Wenn die Zone Datei im selben Verzeichnis wie die Datenbank für DDNS ist, erhält der Deamon auch schreibrechte auf die Zone Konfiguration Dateien. Keine Ahnung wer das macht, vorherr hatte nur root Schreibrecht und named als Gruppe Schreib/Lese rechte.

Da Bind9 schon etwas älter ist, dachte ich das dieses da schon gelöst sei.

[bluestar]

Es geht aber um das Prinzip das kein Deamon/Server schreibrechte auf die Konfiguration selber haben darf.

In meinem Verständnis ist eine Zonendatei keine Konfigurationsdatei sondern eher eine Art Datenbank "light" und die verändert sich während bind läuft.

Da Bind9 schon etwas älter ist, dachte ich das dieses da schon gelöst sei.

Ja das Problem ist wie gesagt gelöst, wenn man Zonendateien nicht als Konfigurationsdateien sondern als Datenbanken ansieht.

[MSfree]

Es geht aber um das Prinzip das kein Deamon/Server schreibrechte auf die Konfiguration selber haben darf.

Zonen- und Journaldateien sind keine Konfigurationsdateien sondern eben die Arbeitsdaten von bind und gehören daher nicht nach /etc.

Wenn die Zone Datei im selben Verzeichnis wie die Datenbank für DDNS ist, erhält der Deamon auch schreibrechte auf die Zone Konfiguration Dateien.

Die Zone-Dateien sind die Datenbank für DNS.

Das, was du als DDNS bezeichnest, ist im Prinzip ein nsupdate, das der DHCP-Server auf den laufenden DNS ausführt. Damit wird die Datenbank (also die Zone-Dateien) verändert.

Keine Ahnung wer das macht, vorherr hatte nur root Schreibrecht und named als Gruppe Schreib/Lese rechte.

Bei mir läuft bind9 nicht als root sondern als Benutzer "bind".

[BerndM]

Genau das war mein Missverständnis von vor x Jahren. Da wurde die Konfiguration in /etc/named gespeichert. Ich hatte mir den Server 2002 installiert und da DDNS (nsupdate, DynDNS, ..) noch kein Thema. Da ich die Datensicherung der Konfigurationsdateien im Moment automatisch nur über das /etc Verzeichnis mache, lasse ich diese dort liegen und werde das bei der nächsten Überarbeitung korrigieren.

bind9 löuft bei mir auch unter den Benutzer bind. War mir nicht sicher und habe schnell nachgeschaut.

Bis dato war ich auch der Meinung, das nur die jnl Datei angelegt und geändert wird. Egal wie wenig die Haare werden, man lernt nie aus

[MSfree]

Genau das war mein Missverständnis von vor x Jahren. Da wurde die Konfiguration in /etc/named gespeichert.

Da werden sie auch heute noch gespeichert, nur besteht die Konfiguration im eigentlichen Sinne nur aus named.conf, root.hints (oder äquiv.) und einem rndc.key.