Папка ключей DNSSEC BIND 9: Разрешения доступа

На чтение 3 мин Опубликовано 24.09.2024

Вопрос или проблема

Я настраиваю свой авторитетный DNS-сервер с поддержкой DNSSEC на Debian 11. У меня возникла проблема с разрешением прав доступа к папкам “/etc/bind/zones” и “/etc/bind/keys”. Я даже пробовал установить права 777 (просто для теста), но ничего не помогло, я все равно получаю ту же ошибку и не могу продолжить.

Ошибки появляются во время “rndc reconfig”.

Вот ошибки из лога:

set 23 19:59:20 xx.xxx.xxx named[21926]: /etc/bind/zones/xx.xxx.xx.jbk: create: permission denied 

set 23 19:59:20 xx.xxx.xxx named[21926]: zone xxx.xx/IN (signed): receive_secure_serial: unexpected error 

set 23 19:59:20 xx.xxx.xxx named[21926]: zone xxx.xx/IN (signed): zone_rekey:dns_dnssec_keymgr failed: error occurred writing key to disk 

set 23 19:59:20 xx.xxx.xxx named[21926]: dumping master file: /etc/bind/zones/tmp-ex8vL2LhQI: open: permission denied

У вас есть идеи?

Ответ или решение

Для решения проблемы с правами доступа к папкам /etc/bind/zones и /etc/bind/keys на вашем авторитетном сервере имен с поддержкой DNSSEC на Debian 11, необходимо выполнить несколько шагов. Ошибка, которую вы наблюдаете, связана с тем, что процесс named, выполняющийся от имени определенного пользователя, не имеет достаточных прав для записи в указанные директории.

Вот пошаговое руководство по корректной настройке прав доступа:

Проверка пользователя, под которым работает BIND:
Обычно BIND работает от имени пользователя bind. Вы можете это проверить, посмотрев конфигурационный файл /etc/bind/named.conf.options или установив соответствующий параметр в системномd-файле.
```
ps aux | grep named
```
Убедитесь, что процесс named действительно запущен под пользователем bind или другим, который вы указали.
Установка правильных прав доступа:
Вам нужно убедиться, что папки /etc/bind/zones и /etc/bind/keys принадлежат пользователю bind и имеют достаточные права для записи.

Выполните следующие команды:
```
sudo chown -R bind:bind /etc/bind/zones
sudo chown -R bind:bind /etc/bind/keys
```
Эти команды установят владельцем и группой папок bind.
Установка прав доступа:
Настройте права доступа таким образом, чтобы пользователь bind мог читать и записывать файлы:
```
sudo chmod 750 /etc/bind/zones
sudo chmod 750 /etc/bind/keys
```
Эти команды установят права доступа так, чтобы владелец (пользователь bind) имел полный доступ, группа могла читать и выполнять, а другие пользователи не имели доступа.
Проверка конфигурации:
После выполнения изменений убедитесь, что конфигурация BIND не содержит ошибок. Вы можете сделать это с помощью команды:
```
sudo named-checkconf
```
Перезапуск сервиса BIND:
После внесения всех изменений перезапустите службу BIND, чтобы они вступили в силу:
```
sudo systemctl restart bind9
```
Проверка логов:
Проверьте журналы, чтобы убедиться, что ошибки больше не возникают:
```
sudo tail -f /var/log/syslog
```

Если после выполнения всех вышеуказанных действий у вас все еще возникают ошибки, пожалуйста, убедитесь, что конфигурационные файлы и ключи в папках находятся в правильном формате и не повреждены. Также проверьте наличие каких-либо ограничений от системы безопасности, таких как SELinux или AppArmor, если они у вас включены.

Следуя этим шагам, вы должны устранить проблемы с правами доступа к папкам для поддержки DNSSEC на вашем сервере BIND.