ry さん、ありがとうございます。

結論から言うと、先ほど bind9 のみ再インストールしたところ、正常に起動しました。
ログをにらめっこしながら起動スクリプトなどを一行ごとに追っていった苦労が、どこへやら、と。

ちなみに、syslog には以下のように記録されています。

Nov 14 11:26:48 carrot named[4948]: starting BIND 9.6.1-P1 -u bind
Nov 14 11:26:48 carrot named[4948]: built with '--prefix=/usr' '--mandir=/usr/share/man' '--infodir=/usr/share/info' '--sysconfdir=/etc/bind' '--localstatedir=/var' '--enable-threads' '--enable-largefile' '--with-libtool' '--enable-shared' '--enable-static' '--with-openssl=/usr' '--with-gssapi=/usr' '--with-gnu-ld' '--with-dlz-postgres=no' '--with-dlz-mysql=no' '--with-dlz-bdb=yes' '--with-dlz-filesystem=yes' '--with-dlz-ldap=yes' '--with-dlz-stub=yes' '--with-geoip=/usr' '--enable-ipv6' 'CFLAGS=-fno-strict-aliasing -DDIG_SIGCHASE -O2' 'LDFLAGS=-Wl,-Bsymbolic-functions' 'CPPFLAGS=' 'CXXFLAGS=-g -O2' 'FFLAGS=-g -O2'
Nov 14 11:26:48 carrot named[4948]: found 4 CPUs, using 4 worker threads
Nov 14 11:26:48 carrot kernel: [ 4591.306641] type=1503 audit(1258165608.811:70): operation="capable" pid=4948 parent=4947 profile="/usr/sbin/named" name="sys_resource"
Nov 14 11:26:48 carrot kernel: [ 4591.308474] type=1503 audit(1258165608.811:71): operation="open" pid=4948 parent=4947 profile="/usr/sbin/named" requested_mask="::r" denied_mask="::r" fsuid=112 ouid=0 name="/etc/ssl/openssl.cnf"
Nov 14 11:26:48 carrot named[4948]: using up to 4096 sockets

先ほどまで悩んでいたとき上記ログも確認したのですが、これを見ても私には何が問題なのか、わかりませんでした。
が、現在（正常に起動した場合）のログを見ると次のようになっています。（一部省略）

Nov 14 11:46:41 carrot named[7128]: starting BIND 9.6.1-P1 -u bind
Nov 14 11:46:41 carrot named[7128]: built with '--prefix=/usr' '--mandir=/usr/share/man' '--infodir=/usr/share/info' '--sysconfdir=/etc/bind' '--localstatedir=/var' '--enable-threads' '--enable-largefile' '--with-libtool' '--enable-shared' '--enable-static' '--with-openssl=/usr' '--with-gssapi=/usr' '--with-gnu-ld' '--with-dlz-postgres=no' '--with-dlz-mysql=no' '--with-dlz-bdb=yes' '--with-dlz-filesystem=yes' '--with-dlz-ldap=yes' '--with-dlz-stub=yes' '--with-geoip=/usr' '--enable-ipv6' 'CFLAGS=-fno-strict-aliasing -DDIG_SIGCHASE -O2' 'LDFLAGS=-Wl,-Bsymbolic-functions' 'CPPFLAGS=' 'CXXFLAGS=-g -O2' 'FFLAGS=-g -O2'
Nov 14 11:46:41 carrot named[7128]: adjusted limit on open files from 1024 to 1048576
Nov 14 11:46:41 carrot named[7128]: found 4 CPUs, using 4 worker threads
Nov 14 11:46:41 carrot named[7128]: using up to 4096 sockets
Nov 14 11:46:41 carrot named[7128]: loading configuration from '/etc/bind/named.conf'
Nov 14 11:46:41 carrot named[7128]: using default UDP/IPv4 port range: [1024, 65535]
Nov 14 11:46:41 carrot named[7128]: using default UDP/IPv6 port range: [1024, 65535]
Nov 14 11:46:41 carrot named[7128]: listening on IPv6 interfaces, port 53
（一部省略）
Nov 14 11:46:41 carrot named[7128]: command channel listening on 127.0.0.1#953
Nov 14 11:46:41 carrot named[7128]: command channel listening on ::1#953
（一部省略）
Nov 14 11:46:41 carrot named[7128]: zone localhost/IN: loaded serial 2
Nov 14 11:46:41 carrot named[7128]: running

ゾーンファイルなどを読み込んで、最終的に「running」しています。

今回の問題が、9.10のアップデートメカニズムに原因があったのか、それとも私の固有の環境に原因があったのか、わかりません。
みなさまの参考になるかもしれませんので、上記、ご報告しておきます。

ありがとうございました。

こんばんは。

body-and-soul による投稿:

システムを再起動すると、まったく同じ現象に見舞われます。
つまり、やはり bind9 は起動に失敗します。
しかし、bind9 のみを再インストールすると、正常に起動します。

不思議な動きですね・・・

そのログを出している本人はappArmorのようなので、以下のファイルを確認してみてください。
/etc/apparmor.d/usr.sbin.named
その中に、
/etc/ssl/openssl.cnf r,
という行があり、ファイルの参照を参照を許可しているはずです。

なお、当方ではbind9をしよしていないため、apt-get intall直後の状態のみしか確認していません。ログに出ているメッセージからすると、再起動した跡で、以下のいずれかの状態なのかもしれません。
・なぜか、該当の行が消える/コメントアウトされてしまう。
・なぜか、usr.sbin.namedのファイルが消えてしまう。

そうですか、それは大変失礼しました。
とりあえず、ログはappArmorのものなので、(セキュリティ的に可能なら)apparmorを一時的にとめて、切り分けることをお勧めしようと思ったのですが、無関係なら必要もないですね。

当方では、apt-getでbind9をインストール後、なにも設定を変更せずに何度か再起動を試しましたが、問題なく動作している(ログのrunningと、psで確認)ようです。とくにnamed以外の部分についても、特に変わった設定は行っていない・・・はずです(ほぼ、インストールしたそのまま)。

weykさん、こんばんは。
もしもご不快を感じさせてしまったとしたら、たいへん申し訳ありません。
weykさんのご指摘のおかげで、起動に関しては appArmor に直接は関係ないということを理解することができました。
ありがとうございました。

また、hito さん。
ご指摘のチェックポイント、調べてみます。
その結果は、またご報告します。

新規インストールの9.10にて、擬似的な実験してみました。

$ sudo apt-get update
$ sudo apt-get install bind9
* Starting domain name service... bind9         [ OK ]

$ sudo cp -a /etc/apparmor.d/usr.sbin.named /etc/apparmor.d/usr.sbin.named.orig

$ sudo vi /etc/apparmor.d/usr.sbin.named
のうち、/etc/ssl/openssl.cnf r,
のエントリをコメントアウトしてファイル保存

$ sudo apparmor_parser -T -W -r /etc/apparmor.d/usr.sbin.named

$ sudo service bind9 restart
* Starting domain name service... bind9         [ OK ]
* Starting domain name service... bind9         [fail]

$ tail /var/log/message
Nov 15 15:40:58 localhost named[4448]: starting BIND 9.6.1-P1 -u bind
Nov 15 15:40:58 localhost named[4448]: built with '--prefix=/usr' '--mandir=/usr/share/man' '--infodir=/usr/share/info' '--sysconfdir=/etc/bind' '--localstatedir=/var' '--enable-threads' '--enable-largefile' '--with-libtool' '--enable-shared' '--enable-static' '--with-openssl=/usr' '--with-gssapi=/usr' '--with-gnu-ld' '--with-dlz-postgres=no' '--with-dlz-mysql=no' '--with-dlz-bdb=yes' '--with-dlz-filesystem=yes' '--with-dlz-ldap=yes' '--with-dlz-stub=yes' '--with-geoip=/usr' '--enable-ipv6' 'CFLAGS=-fno-strict-aliasing -DDIG_SIGCHASE -O2' 'LDFLAGS=-Wl,-Bsymbolic-functions' 'CPPFLAGS=' 'CXXFLAGS=-g -O2' 'FFLAGS=-g -O2'
Nov 15 15:40:58 localhost named[4448]: adjusted limit on open files from 1024 to 1048576
Nov 15 15:40:58 localhost named[4448]: found 1 CPU, using 1 worker thread
Nov 15 15:40:58 localhost kernel: [ 7070.282183] type=1503 audit(1258267258.835:53): operation="open" pid=4448 parent=4447 profile="/usr/sbin/named" requested_mask="::r" denied_mask="::r" fsuid=114 ouid=0 name="/etc/ssl/openssl.cnf"
Nov 15 15:40:58 localhost named[4448]: using up to 4096 sockets

-----
ログのメッセージがすごく似てます。

横から失礼
AppArmorはよくわかりませんが、
auditのログが出ているのなら、
$ cat /var/log/messages | grep audit
で denied 行を見ていけば何らかの手がかりが見つかるかもしれません。

#14のbody-and-soulさん

$ sudo apparmor_parser -T -W -r /etc/apparmor.d/usr.sbin.named
はたった一度だけ実行すれば、今後はもう実行しなくてよいですよ。

今回の事でrc.localに何も追記する必要はないですよ。

#16のbody-and-soulさんへ

おそらく、環境が違うのでしょうね。
私の環境は、9.04→9.10のアップグレードを経ずに、擬似的に作成した環境ですし。
私の環境では、一度キャッシュ再生成すればリブート後もOKで、#10で紹介したLaunchpadでも"キャッシュ再生成すれば直る"という話でしたので、それだけで解決すると思っていました。

私の場合、bindの起動は問題ないのですが、
$ /sbin/apparmor_parser -T -W -r /etc/apparmor.d/usr.sbin.named
をしないと、bindのログが出力されません。再起動するとログが出なくなってしまいます。
（ログの出力先が自分の指定したディレクトリだからでしょうか）
で、この行を/etc/rc.localに追加しました。
一応ログの出力という点ではこれでOKなのですが、syslogに少しだけ
rc.localが実行される以前のエラーと思われるメッセージが出ます。
ということで、結局、/etc/init.d/apparmorの「start」の項の終わりあたりに
この行を追加しました。

我ながら、素直な方法とはとても言えない。
ので、何かすっきりとした方法はないものでしょうか？
なお私のマシンは9.10のクリーンインストールです。