Como instalar e configurar Bind no HestiaCP com validação de zona e AppArmor

Alguns hosts com HestiaCP sobem sem Bind funcional. O painel pode até permitir criação de domínio, mas sem serviço DNS consistente a zona não resolve e o ambiente entra em estado parcial. Este é o processo que uso para instalar e integrar Bind com segurança operacional.

Etapa 1: instalar Bind9

apt update
apt install -y bind9 bind9utils

Etapa 2: permissões base de configuração

chown root:bind /etc/bind/named.conf /etc/bind/named.conf.options
chmod 640 /etc/bind/named.conf /etc/bind/named.conf.options
chown bind:bind /var/cache/bind

Etapa 3: ajustar AppArmor

Sem ajuste, o named pode ficar restrito para leitura de caminhos usados pelo Hestia.

aa-complain /usr/sbin/named 2>/dev/null || true
echo '/home/** rwm,' >> /etc/apparmor.d/local/usr.sbin.named
systemctl reload apparmor

Etapa 4: validar sintaxe antes de iniciar

named-checkconf
systemctl restart bind9
systemctl status bind9 --no-pager

Etapa 5: reconstruir zonas do Hestia

for i in $(v-list-sys-users | egrep -v 'USER|----'); do
  v-rebuild-dns-domains "$i"
done

Erro comum: arquivo .db ausente

Mensagem típica:

/usr/local/hestia/func/domain.sh: line 512: /home/USER/conf/dns/DOMAIN.db: No such file or directory

Causa: domínio criado antes do DNS estar funcional.

Correção prática:

1. recriar domínio/zona no painel;
2. rodar rebuild novamente;
3. validar arquivo .db gerado.

Validação de zona e resolução

named-checkzone exemplo.com.br /home/USER/conf/dns/exemplo.com.br.db

dig +short NS exemplo.com.br @127.0.0.1
dig +short A exemplo.com.br @127.0.0.1

Se named-checkzone falhar, não faça reload de produção sem corrigir.

Conclusão

Instalar Bind no HestiaCP não termina no apt install. A parte crítica é integrar permissões, AppArmor, rebuild de zonas e validação técnica. Com esse fluxo, o DNS deixa de estado parcial e passa a operar de forma previsível.

Este post está licenciado sob CC BY-NC.