{"id":1782,"date":"2020-09-22T18:11:43","date_gmt":"2020-09-22T16:11:43","guid":{"rendered":"http:\/\/clark.tipistrani.it\/?p=1782"},"modified":"2021-10-28T11:11:57","modified_gmt":"2021-10-28T09:11:57","slug":"bind9-in-chroot-su-devuan3","status":"publish","type":"post","link":"http:\/\/clark.tipistrani.it\/?p=1782","title":{"rendered":"Bind9 in chroot su Devuan3"},"content":{"rendered":"<p>Per la serie complichiamo le cose semplici, ho dovuto aggiornare i due bastion host perimetrali in ottica cambio iptables\/nftables.<\/p>\n<p>La prima sorpresa e stata bind che in chroot non voleva saperne di partire, su un bastion host non mi pare una grande idea lasciare fuori dalla jail il DNS, per\u00f2 lasciare una macchina simile senza DNS mi pare un idea anche peggiore.<\/p>\n<p>Quindi, via bind 9 e le sue configurazioni e apt-get install bind9<\/p>\n<p># \/etc\/init.d\/bind9 stop<\/p>\n<p># vim \/etc\/default\/bind9<\/p>\n<p>modifico in OPTIONS=&#8221;-u bind -t \/var\/bind9\/chroot&#8221;<br \/>\npoi<\/p>\n<pre># mkdir -p \/var\/bind9\/chroot\/{etc,dev,run\/named,var\/cache\/bind}\r\ne mkdir -p \/var\/bind9\/chroot\/usr\/share\/dns \r\nquindi cp -a \/usr\/share\/dns\/* \/var\/bind9\/chroot\/usr\/share\/dns<\/pre>\n<p>quindi creo i devices necessari e setto i permessi<\/p>\n<pre># mknod \/var\/bind9\/chroot\/dev\/null c 1 3\r\n<span id=\"line-2-14\" class=\"anchor\"><\/span># mknod \/var\/bind9\/chroot\/dev\/random c 1 8\r\n<span id=\"line-3-13\" class=\"anchor\"><\/span># mknod \/var\/bind9\/chroot\/dev\/urandom c 1 9\r\n<span id=\"line-4-12\" class=\"anchor\"><\/span># chmod 666 \/var\/bind9\/chroot\/dev\/{null,random,urandom}<\/pre>\n<p>sposto la dir bind da etc al nuovo path e creo un symlink per la compatibilit\u00e0<\/p>\n<p># mv \/etc\/bind \/var\/bind9\/chroot\/etc<\/p>\n<pre># ln -s \/var\/bind9\/chroot\/etc\/bind \/etc\/bind<\/pre>\n<p>metto a posto i permessi<\/p>\n<p># chown bind:bind \/var\/bind9\/chroot\/etc\/bind\/rndc.key<br \/>\n# <span id=\"line-2-15\" class=\"anchor\"><\/span>chown bind:bind \/var\/bind9\/chroot\/run\/named<br \/>\n# chmod 775 \/var\/bind9\/chroot\/var\/cache\/bind<br \/>\n# chmod 775 \/var\/bind9\/chroot\/run\/named<br \/>\n# chgrp bind \/var\/bind9\/chroot\/var\/cache\/bind<br \/>\n# chgrp bind \/var\/bind9\/chroot\/run\/named<\/p>\n<p>modifico \/etc\/apparmor.d\/local\/usr.sbin.named aggiungendo<\/p>\n<pre>\/var\/bind9\/chroot\/etc\/bind\/** r,\r\n<span id=\"line-2-16\" class=\"anchor\"><\/span>\/var\/bind9\/chroot\/var\/** rw,\r\n<span id=\"line-3-15\" class=\"anchor\"><\/span>\/var\/bind9\/chroot\/dev\/** rw,\r\n<span id=\"line-4-14\" class=\"anchor\"><\/span>\/var\/bind9\/chroot\/run\/** rw,\r\n\/var\/bind9\/chroot\/usr\/share\/dns\/** r,<\/pre>\n<pre>salvo, \/etc\/init.d\/apparmor reload quindi cambio il percorso del pid in \/etc\/init.d\/bind9 facendolo\r\ndiventare  PIDFILE=\/var\/bind9\/chroot\/run\/named\/named.pid al solito istruiamo rsyslogd ad ascoltare\r\ni messaggi di bind in chroot, con echo \"\\$AddUnixListenSocket \/var\/bind9\/chroot\/dev\/log\" &gt; \/etc\/rsyslog.d\/bind-chroot.conf\r\nal solito in \/etc\/resolv.conf modifico nameserver 127.0.0.1\r\nlancio \/etc\/init.d\/rsyslog restart; \/etc\/init.d\/bind9 start e bind9 parte regolarmente.\r\nADDENDUM \r\nstessa procedura su Devuan 4 Chimaera, e' solo cambiato il nome del demone da bind a named quindi i file sotto \/etc\/default e \/etc\/ini.d\/ no sono pi\u00f9 bind9 ma named.\r\n\r\n<\/pre>\n","protected":false},"excerpt":{"rendered":"<p>Per la serie complichiamo le cose semplici, ho dovuto aggiornare i due bastion host perimetrali in ottica cambio iptables\/nftables. La prima sorpresa e stata bind che in chroot non voleva saperne di partire, su un bastion host non mi pare una grande idea lasciare fuori dalla jail il DNS, per\u00f2 lasciare una macchina simile senza [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8,14,6],"tags":[186,16,53,136,15],"class_list":["post-1782","post","type-post","status-publish","format-standard","hentry","category-linux","category-networking","category-work","tag-beowulf","tag-bind9","tag-chroot","tag-devuan","tag-dns"],"_links":{"self":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/1782","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1782"}],"version-history":[{"count":9,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/1782\/revisions"}],"predecessor-version":[{"id":2015,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/1782\/revisions\/2015"}],"wp:attachment":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1782"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1782"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1782"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}