Форум русскоязычного сообщества Ubuntu


Автор Тема: после обновления упал bind в chroot, ошибка named:ENGINE_by_id(crypto failure)  (Прочитано 1590 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн blank

  • Автор темы
  • Любитель
  • *
  • Сообщений: 80
    • Просмотр профиля
Добрый день!

есть Ubuntu 16.04 LTS, после обновления системы перестал работать NS сервер.
обновление прошло без ошибок.
(Нажмите, чтобы показать/скрыть)
Bind якобы запускаетсяserg@ns:~$ sudo /etc/init.d/bind9 restart
[ ok ] Restarting bind9 (via systemctl): bind9.service.

но имена не резолвятся и в статусе бинда ошибкаserg@ns:~$ sudo /etc/init.d/bind9 status
[sudo] пароль для serg:
● bind9.service - BIND Domain Name Server
   Loaded: loaded (/lib/systemd/system/bind9.service; enabled; vendor preset: enabled)
  Drop-In: /run/systemd/generator/bind9.service.d
           └─50-insserv.conf-$named.conf
   Active: failed (Result: exit-code) since Ср 2017-11-22 12:30:22 MSK; 37s ago
     Docs: man:named(8)
  Process: 1210 ExecStop=/usr/sbin/rndc stop (code=exited, status=1/FAILURE)
  Process: 1150 ExecStart=/usr/sbin/named -f $OPTIONS (code=exited, status=1/FAILURE)
 Main PID: 1150 (code=exited, status=1/FAILURE)

ноя 22 12:30:22 ns named[1150]: using up to 4096 sockets
ноя 22 12:30:22 ns named[1150]: ENGINE_by_id failed (crypto failure)
ноя 22 12:30:22 ns named[1150]: error:25070067:DSO support routines:DSO_load:could not load the shared library:dso_lib.c:233:
ноя 22 12:30:22 ns named[1150]: error:260B6084:engine routines:DYNAMIC_LOAD:dso not found:eng_dyn.c:467:
ноя 22 12:30:22 ns named[1150]: error:2606A074:engine routines:ENGINE_by_id:no such engine:eng_list.c:390:id=gost
ноя 22 12:30:22 ns systemd[1]: bind9.service: Main process exited, code=exited, status=1/FAILURE
ноя 22 12:30:22 ns rndc[1210]: rndc: connect failed: 127.0.0.1#953: connection refused
ноя 22 12:30:22 ns systemd[1]: bind9.service: Control process exited, code=exited status=1
ноя 22 12:30:22 ns systemd[1]: bind9.service: Unit entered failed state.
ноя 22 12:30:22 ns systemd[1]: bind9.service: Failed with result 'exit-code'.
вроде нашел тему https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=820974#15,
насколько я понял в директорию с биндом нужно скопировать /usr/lib/x86_64-linux-gnu/openssl-1.0.0/engines/
выполнил mkdir -p /var/lib/named/usr/lib/x86_64-linux-gnu/openssl-1.0.0/engines/
cp -a /usr/lib/x86_64-linux-gnu/openssl-1.0.0/engines/* /var/lib/named/usr/lib/x86_64-linux-gnu/openssl-1.0.0/engines/

рестартанул бинд и ошибка осталасьserg@ns:~$ sudo /etc/init.d/bind9 restart
[ ok ] Restarting bind9 (via systemctl): bind9.service.
serg@ns:~$
serg@ns:~$ sudo /etc/init.d/bind9 status
● bind9.service - BIND Domain Name Server
   Loaded: loaded (/lib/systemd/system/bind9.service; enabled; vendor preset: enabled)
  Drop-In: /run/systemd/generator/bind9.service.d
           └─50-insserv.conf-$named.conf
   Active: failed (Result: exit-code) since Ср 2017-11-22 12:58:03 MSK; 8s ago
     Docs: man:named(8)
  Process: 1743 ExecStop=/usr/sbin/rndc stop (code=exited, status=1/FAILURE)
  Process: 1727 ExecStart=/usr/sbin/named -f $OPTIONS (code=exited, status=1/FAILURE)
 Main PID: 1727 (code=exited, status=1/FAILURE)

ноя 22 12:58:03 ns named[1727]: error:25070067:DSO support routines:DSO_load:could not load the shared library:dso_lib.c:233:
ноя 22 12:58:03 ns named[1727]: error:260B6084:engine routines:DYNAMIC_LOAD:dso not found:eng_dyn.c:467:
ноя 22 12:58:03 ns named[1727]: error:2606A074:engine routines:ENGINE_by_id:no such engine:eng_list.c:390:id=gost
ноя 22 12:58:03 ns named[1727]: initializing DST: crypto failure
ноя 22 12:58:03 ns named[1727]: exiting (due to fatal error)
ноя 22 12:58:03 ns systemd[1]: bind9.service: Main process exited, code=exited, status=1/FAILURE
ноя 22 12:58:03 ns rndc[1743]: rndc: connect failed: 127.0.0.1#953: connection refused
ноя 22 12:58:03 ns systemd[1]: bind9.service: Control process exited, code=exited status=1
ноя 22 12:58:03 ns systemd[1]: bind9.service: Unit entered failed state.
ноя 22 12:58:03 ns systemd[1]: bind9.service: Failed with result 'exit-code'.
как побороть? спасибо.

Пользователь добавил сообщение 22 Ноября 2017, 20:33:16:
разглядывая логи увидел там интересное apparmor="DENIED" operation="open" profile="/usr/sbin/named", это apparmor bind мешает?
udo tail -n 240 /var/log/syslog | grep -i named
Nov 22 20:25:52 ns named[2389]: starting BIND 9.10.3-P4-Ubuntu <id:ebd72b3> -f -u bind -t /var/lib/named
Nov 22 20:25:52 ns named[2389]: built with '--prefix=/usr' '--mandir=/usr/share/man' '--libdir=/usr/lib/x86_64-linux-gnu' '--infodir=/usr/share/info' '--sysconfdir=/etc/bind' '--localstatedir=/' '--enable-threads' '--enable-largefile' '--with-libtool' '--enable-shared' '--enable-static' '--with-openssl=/usr' '--with-gssapi=/usr' '--with-gnu-ld' '--with-geoip=/usr' '--with-atf=no' '--enable-ipv6' '--enable-rrl' '--enable-filter-aaaa' '--enable-native-pkcs11' '--with-pkcs11=/usr/lib/x86_64-linux-gnu/softhsm/libsofthsm2.so' 'CFLAGS=-g -O2 -fPIE -fstack-protector-strong -Wformat -Werror=format-security -fno-strict-aliasing -fno-delete-null-pointer-checks -DNO_VERSION_DATE' 'LDFLAGS=-Wl,-Bsymbolic-functions -fPIE -pie -Wl,-z,relro -Wl,-z,now' 'CPPFLAGS=-Wdate-time -D_FORTIFY_SOURCE=2 -DDIG_SIGCHASE'
Nov 22 20:25:52 ns named[2389]: ----------------------------------------------------
Nov 22 20:25:52 ns named[2389]: BIND 9 is maintained by Internet Systems Consortium,
Nov 22 20:25:52 ns named[2389]: Inc. (ISC), a non-profit 501(c)(3) public-benefit
Nov 22 20:25:52 ns named[2389]: corporation.  Support and training for BIND 9 are
Nov 22 20:25:52 ns named[2389]: available at https://www.isc.org/support
Nov 22 20:25:52 ns named[2389]: ----------------------------------------------------
Nov 22 20:25:52 ns named[2389]: adjusted limit on open files from 4096 to 1048576
Nov 22 20:25:52 ns named[2389]: found 2 CPUs, using 2 worker threads
Nov 22 20:25:52 ns named[2389]: using 2 UDP listeners per interface
Nov 22 20:25:52 ns named[2389]: using up to 4096 sockets
Nov 22 20:25:52 ns named[2389]: ENGINE_by_id failed (crypto failure)
Nov 22 20:25:52 ns named[2389]: error:25070067:DSO support routines:DSO_load:could not load the shared library:dso_lib.c:233:
Nov 22 20:25:52 ns named[2389]: error:260B6084:engine routines:DYNAMIC_LOAD:dso not found:eng_dyn.c:467:
Nov 22 20:25:52 ns named[2389]: error:2606A074:engine routines:ENGINE_by_id:no such engine:eng_list.c:390:id=gost
Nov 22 20:25:52 ns named[2389]: initializing DST: crypto failure
Nov 22 20:25:52 ns named[2389]: exiting (due to fatal error)
Nov 22 20:25:52 ns kernel: [22194.677118] audit: type=1400 audit(1511371552.575:22): apparmor="DENIED" operation="open"
 profile="/usr/sbin/named" name="/var/lib/named/usr/lib/x86_64-linux-gnu/openssl-1.0.0/engines/libgost.so" pid=2389
 comm="named" requested_mask="r" denied_mask="r" fsuid=112 ouid=0

Пользователь добавил сообщение 22 Ноября 2017, 20:48:50:
вот /etc/apparmor.d/usr.sbin.named
# vim:syntax=apparmor
# Last Modified: Fri Jun  1 16:43:22 2007
#include <tunables/global>

/usr/sbin/named {
  #include <abstractions/base>
  #include <abstractions/nameservice>

  capability net_bind_service,
  capability setgid,
  capability setuid,
  capability sys_chroot,
  capability sys_resource,

  # /etc/bind should be read-only for bind
  # /var/lib/bind is for dynamically updated zone (and journal) files.
  # /var/cache/bind is for slave/stub data, since we're not the origin of it.
  # See /usr/share/doc/bind9/README.Debian.gz
  /etc/bind/** r,
  /var/lib/bind/** rw,
  /var/lib/bind/ rw,
  #/var/log/named/security.log rw,
  /var/cache/bind/** lrw,
  /var/cache/bind/ rw,
  /var/lib/named/etc/bind/** rw,
  /var/lib/named/etc/bind/ rw,
  #/var/lib/named/var/ r,
  /var/lib/named/var/log/named/security.log rw,

  # gssapi
  /etc/krb5.keytab kr,
  /etc/bind/krb5.keytab kr,

  # ssl
  /etc/ssl/openssl.cnf r,

  # GeoIP data files for GeoIP ACLs
  /usr/share/GeoIP/** r,

  # dnscvsutil package
  /var/lib/dnscvsutil/compiled/** rw,

  @{PROC}/net/if_inet6 r,
  @{PROC}/*/net/if_inet6 r,
  @{PROC}/sys/net/ipv4/ip_local_port_range r,
  /usr/sbin/named mr,
  /{,var/}run/named/named.pid w,
  /{,var/}run/named/session.key w,
  # support for resolvconf
  /{,var/}run/named/named.options r,

  # some people like to put logs in /var/log/named/ instead of having
  # syslog do the heavy lifting.
  /var/log/named/** rw,
  /var/log/named/ rw,

  # gssapi
  /var/lib/sss/pubconf/krb5.include.d/** r,
  /var/lib/sss/pubconf/krb5.include.d/ r,
  /var/lib/sss/mc/initgroups r,
  /etc/gss/mech.d/ r,

  # ldap
  /etc/ldap/ldap.conf r,
  /{,var/}run/slapd-*.socket rw,

  # dynamic updates
  /var/tmp/DNS_* rw,

  # Site-specific additions and overrides. See local/README for details.
  #include <local/usr.sbin.named>
}
я правильно понимаю, что туда нужно добавить что-то типа /var/lib/named/usr/lib/x86_64-linux-gnu/** r,?

Пользователь добавил сообщение 22 Ноября 2017, 21:02:41:
в общем добавил в /etc/apparmor.d/usr.sbin.named /var/lib/named/usr/lib/x86_64-linux-gnu/openssl-1.0.0/engines/libgost.so r, и все заработало, всем спасибо за ответы.)

PS. остался один вопрос, мне теперь при каждом обновлении openssl придется копировать /usr/lib/x86_64-linux-gnu/openssl-1.0.0/engines/?
как бы сделать красиво?

ТС не появлялся на Форуме более полугода по состоянию на 17/07/2019 (последняя явка: 12/12/2018). Модератором раздела принято решение закрыть тему.
--zg_nico
« Последнее редактирование: 17 Июля 2019, 09:04:38 от zg_nico »

Оффлайн Сэм

  • Активист
  • *
  • Сообщений: 421
  • чиновник и народ
    • Просмотр профиля
Re: после обновления системы упал bind
« Ответ #1 : 22 Ноября 2017, 22:02:08 »
и все заработало, всем спасибо за ответы.)
про какие ответы идет речь? :)

Оффлайн blank

  • Автор темы
  • Любитель
  • *
  • Сообщений: 80
    • Просмотр профиля
Re: после обновления системы упал bind
« Ответ #2 : 22 Ноября 2017, 22:07:02 »
про какие ответы идет речь? :)
про будущие.:)
в том числе по вопросу:
Цитировать
остался один вопрос, мне теперь при каждом обновлении openssl придется копировать /usr/lib/x86_64-linux-gnu/openssl-1.0.0/engines/?
как бы сделать красиво?
у меня в мыслях, убить все что я там накопировал по пути /var/lib/named/usr/ и в /var/lib/named/usr/lib/x86_64-linux-gnu/openssl-1.0.0/engines/ создать симлинк на /usr/lib/x86_64-linux-gnu/openssl-1.0.0/engines/libgost.so
но:
1. не уверен хватит ли бинду только этого файла?
2. будет ли это работать в принципе?
« Последнее редактирование: 22 Ноября 2017, 22:15:26 от blank »

Оффлайн blank

  • Автор темы
  • Любитель
  • *
  • Сообщений: 80
    • Просмотр профиля
никто по последнему вопросу ничего не посоветует
или биндом в чруте только я пользуюсь?
может я не в том разделе вопросы задаю?

 

Страница сгенерирована за 0.039 секунд. Запросов: 23.