Clark's Home page

Tecnicismi vari di un Sysadmin Linux ma anche qualcosa della sua vita

Bind9 in chroot su Devuan3 —

Per la serie complichiamo le cose semplici, ho dovuto aggiornare i due bastion host perimetrali in ottica cambio iptables/nftables.

La prima sorpresa e stata bind che in chroot non voleva saperne di partire, su un bastion host non mi pare una grande idea lasciare fuori dalla jail il DNS, però lasciare una macchina simile senza DNS mi pare un idea anche peggiore.

Quindi, via bind 9 e le sue configurazioni e apt-get install bind9

# /etc/init.d/bind9 stop

# vim /etc/default/bind9

modifico in OPTIONS=”-u bind -t /var/bind9/chroot”
poi

# mkdir -p /var/bind9/chroot/{etc,dev,run/named,var/cache/bind}
e mkdir -p /var/bind9/chroot/usr/share/dns 
quindi cp -a /usr/share/dns/* /var/bind9/chroot/usr/share/dns

quindi creo i devices necessari e setto i permessi

# mknod /var/bind9/chroot/dev/null c 1 3
# mknod /var/bind9/chroot/dev/random c 1 8
# mknod /var/bind9/chroot/dev/urandom c 1 9
# chmod 666 /var/bind9/chroot/dev/{null,random,urandom}

sposto la dir bind da etc al nuovo path e creo un symlink per la compatibilità

# mv /etc/bind /var/bind9/chroot/etc

# ln -s /var/bind9/chroot/etc/bind /etc/bind

metto a posto i permessi

# chown bind:bind /var/bind9/chroot/etc/bind/rndc.key
# chown bind:bind /var/bind9/chroot/run/named
# chmod 775 /var/bind9/chroot/var/cache/bind
# chmod 775 /var/bind9/chroot/run/named
# chgrp bind /var/bind9/chroot/var/cache/bind
# chgrp bind /var/bind9/chroot/run/named

modifico /etc/apparmor.d/local/usr.sbin.named aggiungendo

/var/bind9/chroot/etc/bind/** r,
/var/bind9/chroot/var/** rw,
/var/bind9/chroot/dev/** rw,
/var/bind9/chroot/run/** rw,
/var/bind9/chroot/usr/share/dns/** r,
salvo, /etc/init.d/apparmor reload quindi cambio il percorso del pid in /etc/init.d/bind9 facendolo
diventare  PIDFILE=/var/bind9/chroot/run/named/named.pid al solito istruiamo rsyslogd ad ascoltare
i messaggi di bind in chroot, con echo "\$AddUnixListenSocket /var/bind9/chroot/dev/log" > /etc/rsyslog.d/bind-chroot.conf
al solito in /etc/resolv.conf modifico nameserver 127.0.0.1
lancio /etc/init.d/rsyslog restart; /etc/init.d/bind9 start e bind9 parte regolarmente.

Categorised as: Linux | Networking | Work

Comments are disabled on this post


Comments are closed.