На главную Наши проекты:
Журнал   ·   Discuz!ML   ·   Wiki   ·   DRKB   ·   Помощь проекту
ПРАВИЛА FAQ Помощь Участники Календарь Избранное RSS
msm.ru
! Правила трёх "С"
Пожалуйста,
1. Соблюдайте правила Форума.
2. Слушайте советы Модераторов.
(например, http://forum.sources.ru/index.php?act=ST&f=7&t=80382 )
3. Сверяйтесь с учебником по Великому и Могучему
  
> FreeBSD: named: the working directory is not writable
    Установлена свеженькая система FreeBSD 7.2-RELEASE.
    Версия нэйм-сервера: BIND 9.4.3-P2
    Вижу в логах (/var/log/messages) ошибку:
    Цитата
    named[522]: starting BIND 9.4.3-P2 -t /var/named -u bind
    named[522]: command channel listening on 127.0.0.1#953
    named[522]: command channel listening on ::1#953
    named[522]: the working directory is not writable
    named[522]: running


    После команды rndc reload в /var/log/messages выдает ошибку:
    Цитата
    named[522]: the working directory is not writable


    Погуглил.
    Узнал, что в 2008 году в BIND были внесены изменения,
    в результате которых у всех массово полезла эта ошибка.
    Предлагалось следующее решение (поменять права):
    Цитата
    # cd /etc/namedb/
    # chown -R bind:wheel *
    # chmod -R g+w *
    # chmod -R g+r *
    # chmod 0600 rndc.key

    Применил.
    На всякий пожарный сделал chown bind:wheel /var/named .
    Рестартовал named.
    Получил в ответ ругательство, что, мол какой-то идиот поменял владельца с рута на бинд, и поэтому автоматом всё снова отдается руту.
    Кроме того, права 775 тоже демону не понравились, он хочет 755.
    Итог - bind не запустился.
    Вернул права 755. Перезапустил.
    Итог - все вернулось на круги своя, т.е. опять ругательства, что the working directory is not writable.

    Как избавиться от этого ругательства?
    Сообщение отредактировано: vot -
      * глядя на права нашего бинда* А если не делать
      Цитата vot @
      На всякий пожарный сделал chown bind:wheel /var/named .
      та же фихня?
      Сообщение отредактировано: negram -
        Дык я ж сказал, что он САМ при запуске поменял владельца папки!
        Сообщил, и сменил bind(53) на root(0).
        Т.е. стало как было раньше.
          http://forums.freebsd.org/showthread.php?t=1920
          Если я правильно понял, там советуют так и оставить... Реально что-то не работает?
            Цитата negram @
            http://forums.freebsd.org/showthread.php?t=1920
            Если я правильно понял, там советуют так и оставить... Реально что-то не работает?

            Это я читал одним из первых.
            Насколько я понял, там нет такого предложения "ничего не делать". А вот про "что делать", там как раз почти ничего и не сказано :)
            В принципе, всё _вроде_бы_ работает.
            Просто смущает, что в логи ошибка пишется, как-то непривычно мне это, привык к "чистоте" :)
              Цитата vot @
              Насколько я понял, там нет такого предложения "ничего не делать".
              Цитата
              Which will make the directory writable and susceptible to the attack Mel_Flynn mentioned. Hence it is not recommended.
              т.е. если сделать папку записываемой, будет уязвимость

              во-вторых, там как раз написано, что на записываемость он проверяет папку, указанную опцией directory. Её монжо и поменять.

              и ещё один метод, который уже ближе к хаку...
              Сообщение отредактировано: negram -
                Mel_Flynn рекомендует не давать права записи для папки /etc/namedb.
                Но при этом говорит, что в качестве working directory можно указать любую другую папку с правами на запись, но при этом придется поплатиться полным переписыванием всех путей и файлов зон на относительный путь. Лично мне это как-то не в кайф :)
                Ладно, не буду спорить...

                В указанном источнике к сожалению вообще ничего не сказано, чем же грозит наличие такого сообщения (отсутствие прав на запись в рабочей папке). Что именно bind хочет туда записать, но не может? А вдруг это что-то важное?!
                  Цитата vot @
                  На всякий пожарный сделал chown bind:wheel /var/named .
                  Рестартовал named.
                  Получил в ответ ругательство, что, мол какой-то идиот поменял владельца с рута на бинд, и поэтому автоматом всё снова отдается руту.
                  А ты от какого юзера bind запускал?
                    Цитата Спящий @
                    от какого юзера bind запускал?

                    От рута.
                    Ну и при перезагрузке он сам от рута запускается сначала...
                      Цитата vot @
                      Как избавиться от этого ругательства?

                      Поменять в
                      /etc/mtree/BIND.chroot.dist

                      строчку
                      /set type=dir uname=root gname=wheel mode=0755
                      на
                      /set type=dir uname=bind gname=wheel mode=0755

                      а вообще последние версии баинда мягко говоря раздражают своей монстрючестью, посмотрите в сторону TinyDNS, есть все необходимые фичи, легок и написан профессионалами
                        Видел я это рецепт.
                        Но подумал, что он требует перекомпиляции, поскольку там в заголовке файла приведена ссылка на ветку с исходниками системы...
                        Был неправ! :)
                        Заменил строку, перезапустил named.
                        Результат - всё работает без ругательств!
                        Так что спасибо, что еще раз ткнули меня носом! :)
                          Цитата vot @
                          Так что спасибо, что еще раз ткнули меня носом! :)

                          Да нормально все, бывает дня два сидишь волосы рвешь, а потом блин оказывается какая нибудь простая чухня.
                          0 пользователей читают эту тему (0 гостей и 0 скрытых пользователей)
                          0 пользователей:


                          Рейтинг@Mail.ru
                          [ Script execution time: 0,0286 ]   [ 15 queries used ]   [ Generated: 10.10.24, 02:29 GMT ]