Einstellung welcher Benutzer für named

[anormal]

Hallo,

über ps erfahre ich, dass mein named mit dem user named gestartet wird (/usr/sbin/named -u named)
Ich habe leider nicht gefunden, wo ich einen anderen Benutzer einstellen kann, benötige dies aber.

Hat jemand ne Idee?

Danke.

[grinch]

höm.. also ehrlichgesagt bin ich nicht der named spezialist.. aber wenn er mit

Code: Select all

/usr/sbin/named -u named

gestartet wird, warum versuchst du nicht mal

Code: Select all

/usr/sbin/named -u andererbenutzer

:?:
scheint mir eigentlich recht logisch ;)

[anormal]

Thx für die schnelle Antwort.

Das problem ist, dass wenn der named mit "rcnamed restart" neugestartet wird, hat er immer den Benutzer named.
Dafür muss es doch irgendwo ne Einstellung geben!

[grinch]

hm.. ich vermute du benutzt suse.. also ich würd mir mal die /etc/init.d/named anguggn ob da was drin steht

[ice]

Im Startscript "*named" im Verzeichnis "/etc/init.d/" steht irgendwo sowas wie

Code: Select all

startproc /bla/named -u named

Da schreibst Du einen anderen user hinein. Dann startet er mit dem User. Wenn er denn startet ich weiss das nötig ist, um den DNS von confixx steuern zu lassen, hatte allerdings nicht so viel Glück damit. Als ich den User wechselte, startete der DNS nicht mehr.

Möglicherweise hatte ich da aber vergessen noch die Rechte oder Benutzer der benutzten Feilen(Andenken an *ex-user*) zu ändern.

[edit] lol, Grinch war schneller.

[olaf.dietsche]

Thx für die schnelle Antwort.

Das problem ist, dass wenn der named mit "rcnamed restart" neugestartet wird, hat er immer den Benutzer named.
Dafür muss es doch irgendwo ne Einstellung geben!

Schau mal unter /etc/default/bind oder /etc/default/bind9 nach, falls du debian benutzt.

[anormal]

ok, danke.
Werd ich mal probieren!

um den DNS von confixx steuern zu lassen

Genau darum geht es :(

viel grüße
anormal

[anormal]

Thx für die schnelle Antwort.

Das problem ist, dass wenn der named mit "rcnamed restart" neugestartet wird, hat er immer den Benutzer named.
Dafür muss es doch irgendwo ne Einstellung geben!

Schau mal unter /etc/default/bind oder /etc/default/bind9 nach, falls du debian benutzt.

Sorry, hab Suse (Rootserver L)
trotzdem thx (werd ich mir für meinen Home-Rechner merken - hat Debian :-D )

[captaincrunch]

Schau mal unter /etc/default/bind oder /etc/default/bind9 nach, falls du debian benutzt.

*g* Schon mal ein

rcnamed restart

unter Debian gesehen ? ;)

[olaf.dietsche]

Schau mal unter /etc/default/bind oder /etc/default/bind9 nach, falls du debian benutzt.

*g* Schon mal ein

rcnamed restart

unter Debian gesehen ? ;)

Code: Select all

$ dpkg -S rcnamed
dpkg: *rcnamed* not found.

Nicht auf meiner Maschine. Ist das in stable?

[thorsten]

bei mir gibts das aus Tradition zur SuSE ;)

Ich hab mir für jeden Eintrag unter /etc/init.d einen link unter /sbin/ gelegt.

[anormal]

Moin erstmal.

Ich habe am Wochenende herausgefunden, wie ich den named erfolgreich mit Benutzer root laufe lasse:

Wurde der Prozess mit /usr/sbin/named -u root gestartet, wurde eine message erzeugt, die sagte, dass auf die Datei /var/run/named/named.pid nicht zugegriffen werden konnte.

Also meine Vorhergehensweise:
Im Startscript "named" im Verzeichnis "/etc/init.d/" steht irgendwo sowas wie: startproc /usr/sbin/named -u named
Dies hab ich geändert in: startproc /usr/sbin/named -u root

Dann habe ich den Verzeichnis /var/run/named und der darin enthaltenen named.pid die Gruppenzugehörigkeit root gegeben (chgrp root /var/run/named .......) und die Schreibrechte für die Gruppe gesetzt (chmod g+w /var/run/named ......)

Dann brauchte ich mit "rcnamed restart" nur den named neustarten und voilá, es ging und läuft super (jetzt auch mit Confixx!!!!!)


Danke an alle, die mich dahingeführt haben!
Tolles Forum!

[olaf.dietsche]

Ich habe am Wochenende herausgefunden, wie ich den named erfolgreich mit Benutzer root laufe lasse:

Das ist eine normalerweise eine schlechte Idee. Der named und auch andere Systemprozesse laufen aus Sicherheitsgründen nicht als root.

Wenn im named ein Sicherheitsleck entdeckt wird, dann kann ein Einbrecher mit vollen Rechten dein System übernehmen. Läuft er hingegen mit der Userid named, dann ist der Schaden etwas geringer.

Aus welchem Grund muß dein named denn als root laufen?

[anormal]

Mein Problem ist, dass ich zwar den Rootserver administriere, aber ein Kollege neue Kunden über Confixx einträgt.
Das Confixx versucht, nachdem das Zone-File erstellt wurde, den Prozess named mit dem Benutzer root zu finden und neuzustarten. Wenn er ihn nicht findet, bleiben seine Ã?nderungen erstmal inaktiv.
Da ich leider nur am Wochenende mit ssh auf den Server komme (sch.. Proxy) muss ich dann jedesmal per Hand die Serial in den Zone-Files anpassen und den Named neustarten. Da gehen mir bis zu 5 Tage flöten, an denen eine Domain schon öfter hätte erreichbar sein sollen.
Das war bisher die einzige Möglichkeit, mir die Arbeit zu erleichtern.

MfG
André

[captaincrunch]

Das war bisher die einzige Möglichkeit, mir die Arbeit zu erleichtern.

Falsch. Schlimmstenfalls schaffst du dir so noch mehr Arbeit (und Kosten), als dir lieb ist. Der bind ist nicht gerade als einer der sichersten Dienste bekannt, und wie schon olaf.dietsche sagte, öfnnest du im schlimmsten Fall damit Crackern Tür und Tor zu deinem Server. Das wäre es mir persönlich nicht wert.

[maui]

Ich würde eher in den Confixx Quelltexten danach suchen, an welcher Stelle er nach einem gerooteten Named sucht und ggf. die Stelle ändern.

Ist besser...glaubs mir

[olaf.dietsche]

Mein Problem ist, dass ich zwar den Rootserver administriere, aber ein Kollege neue Kunden über Confixx einträgt.
Das Confixx versucht, nachdem das Zone-File erstellt wurde, den Prozess named mit dem Benutzer root zu finden und neuzustarten. Wenn er ihn nicht findet, bleiben seine Ã?nderungen erstmal inaktiv.

Mit confixx kenne ich mich zwar nicht aus, aber das sieht für mich erst einmal nach einem Bug aus.

Warum setzt du nicht einen cronjob auf, der regelmäßig prüft, ob die Zone-Files geändert wurden oder neue hinzugekommen sind und bei Bedarf einen restart des named veranlasst?

[anormal]

Ich würde eher in den Confixx Quelltexten danach suchen, an welcher Stelle er nach einem gerooteten Named sucht und ggf. die Stelle ändern.

Ist besser...glaubs mir

Hatte ich probiert, aber die entsprechenden Perldateien sind hard-codiert (in den wirren Zeichen kann ich leider nichts erkennen)

Warum setzt du nicht einen cronjob auf, der regelmäßig prüft, ob die Zone-Files geändert wurden oder neue hinzugekommen sind und bei Bedarf einen restart des named veranlasst?

Weil ich leider nicht auf diese einfache Möglichkeit gekommen bin :oops:

Könnte mir da jemand ein Beispielskript zeigen, welches den Inhalt von Verzeichnissen auf Ã?nderungen überprüft. Wäre echt toll (hab leider zur Zeit keine Möglichkeit sowas zu suchen). DANKE!

[Matthias Diehl]

Noch einfacher geht es wenn Du Confixx 2.0.10 benutzt. In der config_main.conf gibt es einen Wert den Du so setzt:

Code: Select all

$pm_bind_user = 'named';

und es geht alles

[olaf.dietsche]

Warum setzt du nicht einen cronjob auf, der regelmäßig prüft, ob die Zone-Files geändert wurden oder neue hinzugekommen sind und bei Bedarf einen restart des named veranlasst?

Weil ich leider nicht auf diese einfache Möglichkeit gekommen bin :oops:

Könnte mir da jemand ein Beispielskript zeigen, welches den Inhalt von Verzeichnissen auf Ã?nderungen überprüft. Wäre echt toll (hab leider zur Zeit keine Möglichkeit sowas zu suchen). DANKE!

Suchen ist natürlich immer die zeitaufwendigste Methode. Selbst ist der Mann ;-)
Hier ist ein ungetestetes Beispiel für Debian:

Code: Select all

#! /bin/sh
cd $nameddir
sum *.zone | sum >zone.$$
cmp -s zone.last zone.$$
if test $? -ne 0; then
        /etc/init.d/bind9 reload
        mv zone.$$ zone.last
fi

Du solltest mal in Erwägung ziehen, etwas Shell-, Perlskripten zu lernen. Das erspart 'ne Menge Zeit und Suchen. ;-)

[anormal]

Danke, werd ich testen (leider erst ab Donnerstag)

Du solltest mal in Erwägung ziehen, etwas Shell-, Perlskripten zu lernen. Das erspart 'ne Menge Zeit und Suchen.

Perl ist für mich das geringere Problem, bei Shellskripten sieht es schon ein bisschen anders aus. Wie bereits geschrieben, hab ich nur am Wochenende die Möglichkeit sowas zu machen, und da will ich auch nicht die ganze Zeit am PC sitzen. (Mein privater Linux-PC hat leider grad ein paar Hardwareprobleme, somit fällt der auch erstmal aus :( )
Ich versuch aber die Shellskripte durch eure Beispiele zu lernen :-D - ist ein kleiner Anfang, aber besser als gar keiner.

Noch einfacher geht es wenn Du Confixx 2.0.10 benutzt. In der config_main.conf gibt es einen Wert den Du so setzt:

Code:
$pm_bind_user = 'named';

und es geht alles

Da zurzeit der Server recht gut läuft (außer der Named) wollte ich eigentlich kein Confixx-Update machen (Muss dann für die 2.0.10 noch PHP mit IMAP neu machen, glaub ich - wollte ich mir ersparen)

Danke für die Hilfe

[Matthias Diehl]

Neee für Confixx 2.0.10 brauchst Du kein Imap so weit ich weiss. Schau doch einfach mal nach ob dieser Eintrag bei Dir drin ist. Es kann ja sein das dies auch be Vorgängerversionen schon so war

[suppenuser]

Hi,

einfachste lösung ist, in confixx_main.conf die Zeile

Code: Select all

$pm_bind_user = '';

in

Code: Select all

$pm_bind_user = 'named';

zu ändern.

Gruss Ralf