Могу ли я отвечать на все DNS-запросы с определенным cname?
Похоже, во время этого события ваш /bin/dashбыл связан либо с недопустимым контекстом selinux, либо вообще без него.
Здесь lxc -attach жалуется, что ему не удалось выполнить оболочку:
lxc-attach: attach.c: lxc_attach_run_shell: 1325 Permission denied - failed to exec shell
Отказ SELinux avc, по-видимому, подтверждает вышеизложенное:
type=AVC msg=audit(1484836169.882:2969): avc: denied { entrypoint } for pid=7867 comm="lxc-attach" path="/bin/dash" dev="sda3" ino=10289 scontext=system_u:system_r:unconfined_service_t:s0 tcontext=unconfined_u:object_r:unlabeled_t:s0 tclass=file permissive=0
На это следует обратить внимание в приведенном выше случае:
Целевой файл(path="/bin/dash")оказался со специальным контекстом (tcontext=unconfined_u:object_r:unlabeled_t:s0), используемым SELinux для сценариев отработки отказа. Событие /bin/dash, расположенное в индексном узле 10289 на устройстве sda3, было либо связано с недопустимым контекстом, либо вообще не имело контекста.
Попробуйте restorecon -RvFконтекст /bin/dashв иноде 10289 на устройстве sda3. После того, как вы это сделали, посмотрите, сбрасывается ли контекст на что-то отличное от unconfined_u:object_r:unlabeled_t:s0с помощьюls -alZ
Да, любой из них, но на этом этапе вы подделываете всю структуру DNS, а это означает, что вам нужно будет сделать TLD и т. д. для того, что вы хотите на самом деле работать. Конечно, может быть проще просто подделать все это, чтобы указать на то, что CNAME должен разрешить с записью A, и вообще пропустить весь бизнес CNAME.
Кроме того, вместо того, чтобы полностью ломать DNS, рассматривали ли вы решение брандмауэра, которое просто перенаправляет -весь трафик в желаемое место назначения?