<div dir="ltr"><div>Hello,</div><div><br></div><div>Thank you all for replying !</div><div><br></div><div>Thanks to your suggestions, creating an /etc/bind/subdir directory, and tweaking /etc/apparmor.d/usr.sbin.named allowed me to let ISC DHCP update Bind9 entries.</div><div><br></div><div>1. I'm hesitant to file a bug on Debian about this.  As this both involves Bind9 and AppArmor, would you say it deserves to be implemented and documented in default Bind9 installation or that it is too specific for this ?</div><div><br></div><div>2. If it deserves to to be implemented, how would you name this /etc/bind/subdir directory ?</div><div>I personally used "/etc/bind/ddns-zones" but surely there exist alternatives that better describe the purpose of this directory (hosting config that bind9 needs to rewrite) such as :</div><div>writable_conf</div><div>rw_conf</div><div>rwconf</div><div><br></div><div>Detailed steps I followed on Debian Buster to work around the issue were:</div><div><br></div><div>mkdir /etc/bind/ddns-zones</div><div>chown root:bind /etc/bind/ddns-zones</div><div></div><div># I don't know if plain  775 better fits. Comments welcome<br></div><div>chmod 2775 /etc/bind/ddns-zones</div><div><br></div><div>Adding into /etc/apparmor.d/usr.sbin.named, a line:</div><div>/etc/bind/ddns-zones/** rw,</div><div><br></div><div>before line</div><div>/etc/bind/** r,</div><div><br></div><div>Best regards<br></div><div><br></div></div>