Pagina 1 di 1
Bind9 in chroot [Risolto]
Inviato: mer 23 mag 2007, 12:35
da Dani
Ho seguito questa guida ->
http://www.pluto.it/files/ildp/HOWTO/Ch ... HOWTO.html ma bind non mi parte
Ho sostituito in rc.bind i vari "/usr/sbin/named" con "/usr/sbin/named -u proxy -t /home/chroot/named -c /etc/named.conf"
Ma quando avvio lo script:
Codice: Seleziona tutto
root[named]# /etc/rc.d/rc.bind start
Avvio BIND.
ATTENZIONE: Named non è avviato. Questo perchè
il modulo "capability" richiesto dai nuovi kernel
non è caricato (o è statico nel kernel)?
Caricamento modulo capability:
/sbin/modprobe capability
FATAL: Module capability not found.
Avvio nuovamente Named.
FALLITO: dopo aver caricato il modulo "capability",
Named non è stato avviato.
Questo potrebbe essere dovuto ad un errore di configurazione
che bisogna correggere. Buona fortuna!
Che posso fare ?
Inviato: mer 23 mag 2007, 12:40
da manolo
Hai compilato tu il kernel? In caso di risposta affermativa temo ti tocchi ricompilarlo aggiungendo il modulo richiesto.
Ciao
Inviato: mer 23 mag 2007, 12:56
da Dani
E perchè se avvio bind normalmente, senza chroot intendo, parte tranquillamente ?
Inviato: mer 23 mag 2007, 13:32
da manolo
Controlla gli script allora...
Inviato: mer 23 mag 2007, 14:41
da Dani
Quello di avvio di bind funziona se tolgo il "-u proxy -t /home/chroot/named -c /etc/named.conf"
Ho visto che c'è anche l'howto su slacky ma è molto piu' laborioso !
Inviato: mer 23 mag 2007, 17:29
da Luci0
Sembra che non riesca a trovare un modulo, prova a copiare il modulo mancante dalla root del kernel all' equivalente nella chroot
Inviato: gio 24 mag 2007, 19:49
da Dani
Ok, provero'.
La cosa strana è che pero' ora ho avviato bind "normalmente", senza chroot e...
Codice: Seleziona tutto
dani[~]$ lsmod
Module Size Used by
nvidia 6817044 32
dani[~]$
Inviato: ven 25 mag 2007, 22:28
da masalapianta
Dani ha scritto:E perchè se avvio bind normalmente, senza chroot intendo, parte tranquillamente ?
perche' droppare alcuni privilegi ha senso se fai girare un processo con euid 0 in ambiente chroot, ad esempio inibisci l'uso della chroot() stessa (in modo tale che il processo non possa usarla per uscire dalla jail) e di un sacco di altre cose che permetterebbero al processo di rendere vana la jail; difatti se named viene lanciato con euid != 0 non fa uso della SYS_capset().
Come sempre la miglior documentazione e' il codice
(quando non e' scritto coi piedi ovviamente
) spesso per risolvere un problema spulciando documenti puoi impiegare decine di minuti a trovare quel che cerchi, mentre con due botte di grep e una letta a qualche riga di codice risolvi tutto in 30 secondi
Inviato: dom 27 mag 2007, 0:53
da Dani
Si ma per capire il codice di un programma come bind9 ancora ne devo fare di strada
Inviato: mar 18 set 2007, 23:18
da Dani
Il modulo capability non c'entrava, era lo script di avvio di bind9 che stampava quel messaggio nel caso in cui tra i processi (ps aux) non risultava named.
Quando l'avvio di named fallisce, non viene scritto nulla su stdout/stderr ma su syslog ! Quindi bastava controllare lì.
Nel mio caso c'erano due errori fatali, permessi insufficienti e rndc.key non presente nella directory etc della finta root.
Bisogna avere (almeno dalle mie parti
) una cosa del genere:
Codice: Seleziona tutto
root[~]# ls -l /home/chroot/*
/home/chroot/dev:
totale 0
crw-rw-rw- 1 root root 1, 3 2007-09-17 16:34 null
crw-rw-rw- 1 root root 1, 8 2007-09-17 16:34 random
/home/chroot/etc:
totale 12
-rw-r--r-- 1 root root 2652 2007-09-17 16:35 localtime
-rw-r--r-- 1 root root 679 2007-09-17 16:32 named.conf
-rw------- 1 named named 77 2007-09-17 16:32 rndc.key
/home/chroot/var:
totale 8
drwxr-xr-x 3 root root 4096 2007-09-17 16:33 named
drwxr-xr-x 3 root root 4096 2007-09-17 16:37 run
Dunque risolto !