Domain-Name-System

BIND 權限錯誤

  • March 13, 2022

我一直在嘗試使用 nsupdate 來動態更新我的名稱伺服器記錄。

當我嘗試它時,我得到一個伺服器故障。這是來自系統日誌。

Nov 12 08:00:53 ps133045 named[14314]: client 78.72.53.42#50135: signer "www.mydomain.com" approved
Nov 12 08:00:53 ps133045 named[14314]: client 78.72.53.42#50135: updating zone 'mydomain.com/IN': adding an RR at 'client$
Nov 12 08:00:53 ps133045 named[14314]: /etc/bind/zones/mydomain.com.zone.jnl: create: permission denied
Nov 12 08:00:53 ps133045 named[14314]: client 78.72.53.42#50135: updating zone 'mydomain.com/IN': error: journal open fai$

所以我認為這是權限,所以為了測試我給了 /var/named 和 /etc/bind chmod 666

沒有幫助,所以我創建了 mydomain.com.zone.jnl 文件並 chmod 600 並認為可以,我也做了 chown bind:bind 和 root:bind,但在這兩種情況下我仍然得到相同的錯誤。

由於這個錯誤,現在我什至無法重新啟動綁定

Nov 12 08:40:10 ps133045 named[21169]: loading configuration from '/etc/bind/named.conf'
Nov 12 08:40:10 ps133045 named[21169]: /etc/bind/named.conf.local:9: open: /var/named/dnskeys.conf: permission denied
Nov 12 08:40:10 ps133045 named[21169]: loading configuration: permission denied
Nov 12 08:40:10 ps133045 named[21169]: exiting (due to fatal error)

我真的不明白這些權限錯誤,在這兩種情況下,我都在文件和 chown bind:bind 或 root:bind 上嘗試了 chmod 666。我仍然得到錯誤。

這是目錄權限

/var/命名

drw-rw-rw-  2 root bind  121 Nov 12 08:53 .
drwxr-xr-x 15 root root 4.0K Nov 11 16:24 ..
-rw-------  1 root root   59 Nov 11 16:48 Kwww.mydomain.com.+157.17183.key
-rw-------  1 root root  165 Nov 11 16:49 Kwww.mydomain.com.+157.17183.private
-rw-------  1 root bind  126 Nov 12 08:53 dnskeys.conf

/etc/綁定

drwxrwsrwx   3 root bind 4.0K Nov 11 17:31 .
drwxr-xr-x 115 root root 8.0K Nov 10 04:59 ..
-rw-r--r--   1 root root 2.5K Oct 20 10:46 bind.keys
-rw-r--r--   1 root root  237 Oct 20 10:46 db.0
-rw-r--r--   1 root root  271 Oct 20 10:46 db.127
-rw-r--r--   1 root root  237 Oct 20 10:46 db.255
-rw-r--r--   1 root root  353 Oct 20 10:46 db.empty
-rw-r--r--   1 root root  270 Oct 20 10:46 db.local
-rw-r--r--   1 root root 3.0K Oct 20 10:46 db.root
-r--r--r--   1 root bind    3 Nov 10 05:07 jam.sh
-rw-r--r--   1 root bind  463 Nov 11 05:15 named.conf
-rw-r--r--   1 root bind  490 Oct 20 10:46 named.conf.default-zones
-rwxr-xr-x   1 root bind  503 Nov 12 09:01 named.conf.local
-rwxr-xr-x   1 root bind  462 Nov 11 17:30 named.conf.local.bak
-rw-r--r--   1 root bind  572 Oct 20 10:46 named.conf.options
-rw-r-----   1 bind bind   77 Nov 10 04:59 rndc.key
drw-rwSrw-   2 root bind  109 Nov 12 08:26 zones
-rw-r--r--   1 root root 1.3K Oct 20 10:46 zones.rfc1918

/etc/綁定/區域

drw-rwSrw- 2 root bind  109 Nov 12 08:26 .
drwxrwsrwx 3 root bind 4.0K Nov 11 17:31 ..
-r--r--r-- 1 root bind  402 Nov 11 11:07 mydomain.com.zone
-rw-rw-rw- 1 bind bind    0 Nov 12 08:26 mydomain.com.zone.jnl
-r--r--r-- 1 root bind  377 Nov 11 11:06 rev.241.205.33.66.in-addr.arpa

任何幫助或指導將不勝感激,在此先感謝!

錯誤消息實際上是不言自明的:

/etc/bind/named.conf.local:9:打開:/var/named/dnskeys.conf:權限被拒絕

named程序通常以受限使用者(可能bind)身份執行,該使用者無權訪問該文件dnskeys.conf(在目前權限下,該文件只能由該使用者訪問root):

-**rw**------- 1 **root** bind 126 Nov 12 08:53 dnskeys.conf

將該文件的權限更改為 640,以便該組bind具有讀取權限,

chmod g+r /var/named/dnskeys.conf

或將文件的所有者更改為執行該named程序的使用者:

chown bind /var/named/dnskeys.conf

正如其他人指出的那樣,您絕對應該使文件世界可讀,更不用說世界可寫了。

引用自:https://serverfault.com/questions/447913