<div style="text-align: left;"><span style="font-size: 14px;">Hi MJ,</span></div><div style="text-align: left;"><span style="font-size: 14px;"><br></span></div><div style="text-align: left;"><span style="font-size: 14px;">unfortunately I couldn't fix it. I tried one billion things, but nothing worked. So I needed to go the hard way and commented this out in /etc/systemd/system/multi-user.target.wants/nsd.service:</span></div><div style="text-align: left;"><span style="font-size: 14px;"><br></span></div><div style="text-align: left;"><span style="font-size: 14px;">#CapabilityBoundingSet=CAP_CHOWN CAP_IPC_LOCK CAP_NET_BIND_SERVICE CAP_SETGID CAP_SETUID CAP_SYS_CHROOT</span></div><div style="text-align: left;"><span style="font-size: 14px;"><br></span></div><div style="text-align: left;"><span style="font-size: 14px;">Kind Regards,</span></div><div style="text-align: left;"><span style="font-size: 14px;">Kaulkwappe<br></span><br><br><hr style="color: rgb(0, 0, 0); font-family: Arial; font-size: 14px; border-width: 0px 0px 1px; border-top-style: initial; border-right-style: initial; border-left-style: initial; border-top-color: initial; border-right-color: initial; border-left-color: initial; border-image: initial; border-bottom-style: solid; border-bottom-color: rgb(218, 218, 218);"><b style="color: rgb(0, 0, 0); font-family: Arial; font-size: 14px;">From:</b><span style="font-size: 14px;"> mj via nsd-users <</span><a href="/email/new/1/nsd-users%40lists.nlnetlabs.nl" style="color: rgb(0, 0, 0); font-family: Arial; font-size: 14px;">nsd-users@lists.nlnetlabs.nl</a><span style="font-size: 14px;">></span><br><b style="color: rgb(0, 0, 0); font-family: Arial; font-size: 14px;">Sent:</b><span style="font-size: 14px;"> Tuesday, 26. May 2020 – 11:58  CEST +0200</span><br><b style="color: rgb(0, 0, 0); font-family: Arial; font-size: 14px;">To:</b> <a href="/email/new/1/nsd-users%40lists.nlnetlabs.nl" style="color: rgb(0, 0, 0); font-family: Arial; font-size: 14px;">nsd-users@lists.nlnetlabs.nl</a><br><br><b style="color: rgb(0, 0, 0); font-family: Arial; font-size: 14px;">Subject:</b><span style="font-size: 14px;"> [nsd-users] NSD still shows permission errors on Debian 10 Buster</span><br><br></div><div>
                                
                                        <style>
                                                
                                                body {
                                                        font-family: "Arial";
                                                        font-size: 100% !important;
                                                        margin: 0;
                                                        line-height: 1.2rem;
                                                }
                                                
                                        </style>

                                        <pre style="white-space: pre-wrap; color: #173860;">Hi,

Subscribed specially to reply to the subject thread.

I am also trying to run nsd on debian buster, and it's not working so 
nicely. :-)

> error: Cannot open /var/log/nsd.log for appending (Read-only file system), logging to stderr
> warning: failed to unlink pidfile /run/nsd/nsd.pid: Permission denied

I added "/var/log" and "/run/nsd" ReadWritePaths to the nsd.service 
file, but the error remains:

> [Unit]
> Description=Name Server Daemon
> Documentation=man:nsd(8)
> After=network.target
> 
> [Service]
> Type=notify
> Restart=always
> ExecStart=/usr/sbin/nsd -d
> ExecReload=+/bin/kill -HUP $MAINPID
> CapabilityBoundingSet=CAP_CHOWN CAP_IPC_LOCK CAP_NET_BIND_SERVICE CAP_SETGID CAP_SETUID CAP_SYS_CHROOT
> MemoryDenyWriteExecute=true
> NoNewPrivileges=true
> PrivateDevices=true
> PrivateTmp=true
> ProtectHome=true
> ProtectControlGroups=true
> ProtectKernelModules=true
> ProtectKernelTunables=true
> ProtectSystem=strict
> ReadWritePaths=/var/lib/nsd /etc/nsd /run /var/log /run/nsd
> RuntimeDirectory=nsd
> RestrictRealtime=true
> SystemCallArchitectures=native
> SystemCallFilter=~@clock @cpu-emulation @debug @keyring @module mount @obsolete @resources
> 
> [Install]
> WantedBy=multi-user.target

I read in Paul Wouters reply to add nsd User/Group to the service file, 
but then nsd no longer starts, as the nsd user has no permission to bind 
to port 53:

> error: can't bind udp socket: Permission denied

I wanted to migrate from bind to nsd, but it seems the debian package 
could use some love. :-)

Does anyone have a suggestion how to proceed..? (a working systemd file 
perhaps?)

Thanks,
MJ
_______________________________________________
nsd-users mailing list
nsd-users@lists.nlnetlabs.nl
https://lists.nlnetlabs.nl/mailman/listinfo/nsd-users
</pre>                                    
                                </div>