[sisyphus] Re: Bind...

[Dmitry V. Levin]

On Thu, Nov 20, 2003 at 02:28:04AM +0300, Sergey wrote:
> On 20 Ноябрь 2003 00:34, Dmitry V. Levin wrote:
> 
> > > А ссылка на него есть в options.conf:   dump-file "/var/run/named_dump.db";
> > > ;-)
> > 
> > $ rpmquery --changelog bind |fgrep /var/run
> > - Moved /var/lib/bind/var/run to separate subpackage, bind-debug.
> 
> Может, тогда dump-file "/dev/null" и statistics-file "/dev/null" в конфиге 
> по дефолту ?

Чтобы
+ при установке пакета bind-debug не надо было менять конфигурационный
  файл и переконфигурировать bind;
+ при неустановленном пакете bind-debug в логе это было видно.

> > Рекомендация такая: если есть возможность не создавать в chroot jail
> > каталоги, доступные для записи, то не стоит ей пренебрегать.
> 
> кстати, если dump-file, к примеру, закомментировать, то named_dump.db
> замечательно в zone создается... Это как-то расходится с 
> 
> By default, named is configured to run in readonly chroot jail with no
> extra privileges.
> 
> To configure named as master or caching-only DNS, you don't need to create
> files and/or directories writable by named.
> 
> Оно вполне себе writable получается.

Как-то вы неаккуратно работаете.

При установке пакета bind в /var/lib/bind/ получается readonly chroot
jail.  Если не ставить bind-slave и bind-debug, то так оно и останется;
# rndc dumpdb
приводит к
could not open dump file: file not found
в логах bind'а.

> Грабли - оно штука занятная: не узнаешь, пока не наступишь. :-)

Пользуйтесь граблеискателем. :)


-- 
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/sisyphus/attachments/20031120/fe8f9930/attachment-0009.bin>