Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 01-09-2014 09:18:37

Hypathie
Membre
Lieu : Chambéry _ Montréal
Distrib. : Jessie
Noyau : Linux debian 3.16.0-4-586
(G)UI : Cinnamon Mate Xfce
Inscription : 28-12-2013

Hors ligne

#2 16-10-2016 16:41:01

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : wiki: DNS bind9

Bonjour
j'ai remarqué que tu utilise la clé par défaut de bind sur le wiki , il est plus correct d'en créer une (celle que tu utilise est utilisée sur toutes les installation de bind , donc facile a connaitre smile  )
le tuto de debian wiki fonctionne trés bien => https://wiki.debian.org/fr/Bind9
dans la section =>  Signature TSIG

Note: ci dessous j'ai repris le tuto ci dessus est ajouté quelques notes pour qu il soit plus clair pour tous (l avertissement pour le fichier RNDC.key est faux , elle peut etre lu , voir ci dessous )

Signature TSIG

Cette signature a pour but d'authentifier les transactions avec BIND.
Ainsi, le serveur DHCP ne pourra mettre à jour le domaine example.com que s'il dispose de cette clef.
On recopie une clef existante :
on se place dans le dossier de bind


# cd /etc/bind/
 


on ouvre la clé fourni a l'installation (tu a précisé que il ne faut pas l'ouvrir )


# cat rndc.key
key "rndc-key" {
        algorithm hmac-md5;
        secret "QJc08cnP1xkoF4a/eSZZbw==";
};
 


on fait une image de la clé avec son nom de domaine (ici le nom de domaine pour exemple "exemple.com" )


# cp rndc.key ns-example-com_rndc-key
 


On génère une nouvelle clef avec les options suivantes :

    algorithme HMAC-MD5 - identifiant 157 (obligatoire pour une signature TSIG et seul algorithme supporté par BIND)

    longeur de 512 octets (multiple de 64 avec une longueur maximale de 512 pour l'algorithme ci-dessus)

    nom : ns-example-com_rndc-key
on lance la création de la nouvelle clé


dnssec-keygen -a HMAC-MD5 -b 512 -n USER ns-example-com_rndc-key
Kns-example-com_rndc-key.+157+53334
 


Le footprint associé à la clef est 53334. On obtient alors deux fichiers, l'un avec une extension key et l'autre avec une extension private.
On substitue la clef présente dans le fichier ns-example-com_rndc-key par celle présente dans un de ces derniers.
On ouvre le fichier généré et on utilise le copier / coller


# cat Kns-example-com_rndc-key.+157+53334.private
Private-key-format: v1.2
Algorithm: 157 (HMAC_MD5)
Key: LZ5m+L/HAmtc9rs9OU2RGstsg+Ud0TMXOT+C4rK7+YNUo3vNxKx/197o2Z80t6gA34AEaAf3F+hEodV4K+SWvA==
Bits: AAA=
 


On ouvre notre fichier key avec notre domaine et on colle la nouvelle clé créé au dessus a la place de l ancienne


# cat ns-example-com_rndc-key
key "ns-example-com_rndc-key" {
        algorithm hmac-md5;
        secret "LZ5m+L/HAmtc9rs9OU2RGstsg+Ud0TMXOT+C4rK7+YNUo3vNxKx/197o2Z80t6gA34AEaAf3F+hEodV4K+SWvA==";
};
 


Comme conseil :
Le fichier ns-example-com_rndc-key ne doit pas être world-readable, afin de garantir la sécurité.
Celui-ci sera inséré dans la configuration de bind via une directive include car la configuration de bind est quant à elle world-readable.
On pensera aussi à supprimer les fichiers key et private précédemment générés. (ceux qui commencent par "Kns.........  "
On utilise cette clé comme précisé dans le tuto (qui est beaucoup plus sérieuse que celle fourni par bind a l'installation )

PS: le tuto peut etre modifié si vous etes d'accord et qu il n y a pas d'erreur
A été testé plusieurs fois sur stretch

Dernière modification par robert2a (16-10-2016 17:19:32)

Hors ligne

#3 16-10-2016 17:33:03

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : wiki: DNS bind9

Aprés relecture du tuto , mes excuses a Hypathie  tongue  smile
voici le contenu de la clé par defaut


key "rndc-key" {
  algorithm hmac-md5;
  secret "6BiPcGuFxQOWp75+V6RuDQ==";
};
 


sur le tuto elle modifie ce contenu et elle génére la clé a chaque intérogation
le contenu de son fichier RNDC.key


# Start of rndc.conf
key "rndc-key" {
        algorithm hmac-md5;
        secret "xxxxxxxxxxxxxxxxx";
};

#options {
#       default-key "rndc-key";
#       default-server 127.0.0.1;
#       default-port 953;
#};
# End of rndc.conf

# Use with the following in named.conf, adjusting the allow list as needed:
# key "rndc-key" {
#       algorithm hmac-md5;
#       secret "xxxxxxxxxxxxxx";
# };
#
# controls {
#       inet 127.0.0.1 port 953
#               allow { 127.0.0.1; } keys { "rndc-key"; };
# };
# End of named.conf
 



je sais pas quel est la meilleure méthode , celle du "tuto" ou celle de "debian wiki bind"
PS: malgrés son avertissement au début elle ouvre la clé avec vim pour modification  wink

personnellement j'ai une préférence pour la méthode que j'explique au dessus , la clé me semble plus robuste , j'ai pas testé la méthode du wiki

nota: ce fichier correspond a l'ancienne version de wheezy de bind9 , et je pense que la clé correspond a celle de l'installation et ne change pas (donc identique sur toutes les installation de bind )
j'en revient a ma premiere conclusion , ceci => secret "xxxxxxxxxxxxxx";  quelle a masqué est la clé par défaut
le reste de son script est commenté .
alors que dans mon exemple c'est la clé ns--exemple-com-rndc-key qui est utilisé

Dernière modification par robert2a (16-10-2016 18:09:35)

Hors ligne

Pied de page des forums