Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 08-11-2018 12:53:04

LaFouine
Membre
Distrib. : Debian testing strech
Noyau : 4.9.0-2-amd64
(G)UI : Xfce
Inscription : 10-04-2017

[résolu] bind9 et DNSSEC quel paramètre obligatoire ?

Bonjours,

je suis plusieurs tutoriel, dans ces dernier, on fait référence à dnssec-enable permettant de faire partie de la mécanique anti cache poisonning, c'est donc non négligeable.

voici une doc d'ovh,https://docs.ovh.com/fr/domains/securis … ec-dnssec/

dnssec-enable true;



C'est pour l'instant la seul instruction que j'ai placée, est-ce que c'est suffisant ?

Comment verifier que cela est sécuriser ?

Le serveur bind est en local et donc non publique

Merci d'avance pour vos lumière.

Dernière modification par LaFouine (09-11-2018 09:01:00)


Debian strech, 2 x nvidia 980 gtx sli, cm asurock 16 gb ram

Hors ligne

#2 08-11-2018 13:22:16

Freemaster
Membre
Lieu : Nord
Distrib. : Debian amd64
Inscription : 31-07-2018
Site Web

Re : [résolu] bind9 et DNSSEC quel paramètre obligatoire ?

LaFouine a écrit :

Le serveur bind est en local et donc non publique


en gros on sort l'artillerie pour pas grand chose smile

allow-recursion { 127.0.0.1; 192.168.1.0/24; };



c'est suffisant pour un réseau local

En ligne

#3 08-11-2018 21:46:05

raleur
Membre
Inscription : 03-10-2014

Re : [résolu] bind9 et DNSSEC quel paramètre obligatoire ?

Quel rapport avec la question sur DNSSEC ?

Hors ligne

#4 09-11-2018 00:16:48

LaFouine
Membre
Distrib. : Debian testing strech
Noyau : 4.9.0-2-amd64
(G)UI : Xfce
Inscription : 10-04-2017

Re : [résolu] bind9 et DNSSEC quel paramètre obligatoire ?

Merci pour allow-recursion et donc pour  DNSSEC  ?

Debian strech, 2 x nvidia 980 gtx sli, cm asurock 16 gb ram

Hors ligne

#5 09-11-2018 00:45:27

Freemaster
Membre
Lieu : Nord
Distrib. : Debian amd64
Inscription : 31-07-2018
Site Web

Re : [résolu] bind9 et DNSSEC quel paramètre obligatoire ?

https://www.ovh.com/fr/domaines/service_dnssec.xml

au cas où tu n'aurais pas compris, dnssec ne protège pas le moteur dns, mais les domaines que tu héberges...
et on parle de domaines publics !
vu que ton serveur est local, cela ne sert à rien smile

par contre le jour où tu auras un serveur en ligne, et que au niveau de ton registrar du nom de domaine, ton serveur serait déclaré... là tu pourras penser au dnssec, et là il faudra faire un peu plus que de mettre dnssec-enable à true

En ligne

#6 09-11-2018 09:00:28

LaFouine
Membre
Distrib. : Debian testing strech
Noyau : 4.9.0-2-amd64
(G)UI : Xfce
Inscription : 10-04-2017

Re : [résolu] bind9 et DNSSEC quel paramètre obligatoire ?

Ok merci pour ton explication yes.gif

sujet résolut

Debian strech, 2 x nvidia 980 gtx sli, cm asurock 16 gb ram

Hors ligne

#7 09-11-2018 12:54:27

raleur
Membre
Inscription : 03-10-2014

Re : [résolu] bind9 et DNSSEC quel paramètre obligatoire ?

Freemaster a écrit :

dnssec ne protège pas le moteur dns, mais les domaines que tu héberges


En fait les deux. Ça ne sert à rien de configurer DNSSEC sur une zone si les résolveurs ne le vérifient pas.

Hors ligne

#8 09-11-2018 13:20:49

Freemaster
Membre
Lieu : Nord
Distrib. : Debian amd64
Inscription : 31-07-2018
Site Web

Re : [résolu] bind9 et DNSSEC quel paramètre obligatoire ?

cela n'apporte aucune sécurité en plus au serveur dns pour autant

En ligne

#9 09-11-2018 14:17:46

raleur
Membre
Inscription : 03-10-2014

Re : [résolu] bind9 et DNSSEC quel paramètre obligatoire ?

Ah ?  Tu peux expliquer pourquoi ?

Hors ligne

#10 09-11-2018 15:01:14

Freemaster
Membre
Lieu : Nord
Distrib. : Debian amd64
Inscription : 31-07-2018
Site Web

Re : [résolu] bind9 et DNSSEC quel paramètre obligatoire ?

ce n'est pas le but de dnssec... si tu pense le contraire, à toi de nous expliquer smile
tu pourras apporter la solution à lafouine pour sécuriser son serveur dns sans zone, par la même occasion smile

En ligne

#11 09-11-2018 15:36:19

raleur
Membre
Inscription : 03-10-2014

Re : [résolu] bind9 et DNSSEC quel paramètre obligatoire ?

Selon toi, quel est le but de DNSSEC, et pourquoi un serveur DNS récursif n'est pas concerné ?
Précision : "protéger un domaine" ou une zone, ça ne veut rien dire de concret. C'est comme dire que HTTPS protège un site web.

Dernière modification par raleur (09-11-2018 15:38:11)

Hors ligne

#12 09-11-2018 15:47:46

Freemaster
Membre
Lieu : Nord
Distrib. : Debian amd64
Inscription : 31-07-2018
Site Web

Re : [résolu] bind9 et DNSSEC quel paramètre obligatoire ?

si on devait faire l'analogie, c'est comme ci justement tu disais que le https sécurise le moteur web apache...
ce qui effectivement n'est pas le cas, et le dnssec ne sécurise pas plus le moteur dns bind9

En ligne

#13 09-11-2018 15:56:03

raleur
Membre
Inscription : 03-10-2014

Re : [résolu] bind9 et DNSSEC quel paramètre obligatoire ?

DNSSEC sécurise les données manipulées par le serveur cache récursif. Ces données ne sont pas seulement transmises aux clients mais servent également au fonctionnement du serveur lui-même (ex : les enregistrements NS utilisés comme "referrals").

Hors ligne

#14 09-11-2018 16:40:47

Freemaster
Membre
Lieu : Nord
Distrib. : Debian amd64
Inscription : 31-07-2018
Site Web

Re : [résolu] bind9 et DNSSEC quel paramètre obligatoire ?

ah tu parles en tant que client ? dnssec-validation auto; est suffisant
et normalement c'est une option par défaut...

En ligne

#15 09-11-2018 16:52:55

raleur
Membre
Inscription : 03-10-2014

Re : [résolu] bind9 et DNSSEC quel paramètre obligatoire ?

Je parle en tant que cache récursif. Qu'est-ce que tu croyais ? En tant que serveur faisant autorité ? Alors pourquoi avoir mentionné l'option allow-recursion ?
C'est à Lafouine de préciser à quoi est censé servir ce serveur DNS.

Hors ligne

#16 10-11-2018 09:10:03

LaFouine
Membre
Distrib. : Debian testing strech
Noyau : 4.9.0-2-amd64
(G)UI : Xfce
Inscription : 10-04-2017

Re : [résolu] bind9 et DNSSEC quel paramètre obligatoire ?

C'est pour un usage maison,
Je suis entrain de regarder pour une alternative: unbound, un essai me tente;)
Ce que je constate pour bind il est pénible à configurer et pas mal de fichier sont toucher donc ça rend la maintenance plus difficile, sans compter la doc qui souvent montre quoi faire, mai pas pour expliquer à quoi ça sert ... particulièrement pour un débutant.
ça manque un soft pour le configurer, plutôt que de faire des outils pour tester si la configuration est bonne

Debian strech, 2 x nvidia 980 gtx sli, cm asurock 16 gb ram

Hors ligne

#17 10-11-2018 09:53:48

raleur
Membre
Inscription : 03-10-2014

Re : [résolu] bind9 et DNSSEC quel paramètre obligatoire ?

LaFouine a écrit :

C'est pour un usage maison


Toujours pas assez précis. Récursif ou autoritaire ?

LaFouine a écrit :

Je suis entrain de regarder pour une alternative: unbound


Donc récursif apparemment.

Hors ligne

#18 11-11-2018 17:15:44

LaFouine
Membre
Distrib. : Debian testing strech
Noyau : 4.9.0-2-amd64
(G)UI : Xfce
Inscription : 10-04-2017

Re : [résolu] bind9 et DNSSEC quel paramètre obligatoire ?

raleur a écrit :

LaFouine a écrit :

C'est pour un usage maison


Toujours pas assez précis. Récursif ou autoritaire ?

LaFouine a écrit :

Je suis entrain de regarder pour une alternative: unbound


Donc récursif apparemment.



chéma:

FAI -- box --{dns [dhcp-client sur enp4s0][dhcp-serv interface 1,2,3] }

Pour que le dns marche pour toutes les interfaces , je pense que c'est récursif.
bon c'est décider je passe sure unboud qui a le mérite d'avoir un fichier de configuration plus claire.

Merci pour l'aide apportée.:)


Debian strech, 2 x nvidia 980 gtx sli, cm asurock 16 gb ram

Hors ligne

Pied de page des forums