Debian Debian-France Debian-Facile Debian-fr.org Debian-fr.xyz Debian ? Communautés

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 23-08-2021 22:38:04

totoZero7
Membre
Distrib. : Debian 11 bullseye
Noyau : Linux 5.10.0-8-amd64
(G)UI : Mate
Inscription : 05-07-2020

[résolu] Comment utiliser nss-tls ? (DoH au lieu de DNS)

Bonjour,

Avec l'arrivée de Debian 11, il est possible de passer le trafic DNS par DoH, donc de manière chiffré.
Je souhaite faire ce changement mais je coince dans la procédure
L'idée est aussi de prendre en compte /etc/hosts où j'ai plein de vilains sites bloqués. Ce que Firefox ne prend pas en compte quand j'active le DoH de Firefox comme me l'avait dit 'raleur' sur le poste https://debian-facile.org/viewtopic.php?id=29942
Pour y arriver, il faut passer "libnss-tls" disponible à partir de Debian 11. Ce que j'essaye...


J'ai installé

apt-get install libnss-tls


il m'a suggéré "nss-tlsd" avec que j'ai installé également.

J'ai tenté de suivre le tuto sur github (en anglais et je pige pas tout)
https://github.com/dimkr/nss-tls


J'ai installé les paquets suggérés

apt install libglib2.0-dev libsoup2.4-dev ninja-build python3-pip



Puis executé cette commande

pip3 install meson



Ensuite j'ai fait

meson --prefix=/usr --buildtype=release -Dstrip=true build


et j'obtiens ce message d'erreur:

ERROR: Neither directory contains a build file meson.build.



Je suis bloqué.
Si un raleur passe dans le coin...

Dernière modification par totoZero7 (02-09-2021 20:41:46)

Hors ligne

#2 24-08-2021 08:34:01

--gilles--
Membre
Lieu : Orléans - La Source
Distrib. : debian 11
Noyau : Linux 5.10.0-9-amd64
(G)UI : mutter 3.38.6-2~deb11u1
Inscription : 15-02-2016

Re : [résolu] Comment utiliser nss-tls ? (DoH au lieu de DNS)

Bonjour smile

À mon avis,
déjà, tu as passé la commande meson --prefix=/usr --buildtype=release -Dstrip=true build

en utilisateur, alors meson ne peux avoir accès au fichier meson.build. Il faut passer cette commande et les autres suivantes en root.



Ensuite si meson continuait à ne pas trouver le fichier meson.build, après le message d'erreur, il faudrait que effectues la ligne :
meson --prefix=/usr --buildtype=release -Dstrip=true build

dans le répertoire où se trouve le fichier meson.build lié à nss-tls.

Tu pourrais le trouver avec cette commande :

find / -iname meson.build -print



mais raleur va dire qu'il existe une commande encore plus efficace. big_smile Mais je ne la connais pas.

Bonne journée !

Dernière modification par --gilles-- (24-08-2021 09:01:26)


Nos vies commencent à prendre fin le jour où nous devenons silencieux à propos des choses qui comptent. Martin Luther King

En ligne

#3 24-08-2021 10:28:06

raleur
Membre
Inscription : 03-10-2014

Re : [résolu] Comment utiliser nss-tls ? (DoH au lieu de DNS)

totoZero7 a écrit :

il m'a suggéré "nss-tlsd"


Non, nss-tlsd n'est pas une simple suggestion mais une dépendance obligatoire. C'est ce service qui gère DoH, libnss-tls ne faisant que l'interface avec NSS.

Je ne comprends pas ce que tu cherches à faire avec les autres paquets, meson... De ce que je comprends il devrait suffire de configurer /etc/nss-tlsd.conf avec le ou les serveurs DoH à interroger et d'ajouter "tls" à la ligne "hosts:" dans /etc/nsswitch.conf pour activer l'utilisation de DoH (ce que l'installation du paquet devrait logiquement faire).


Il vaut mieux montrer que raconter.

Hors ligne

#4 24-08-2021 23:31:59

totoZero7
Membre
Distrib. : Debian 11 bullseye
Noyau : Linux 5.10.0-8-amd64
(G)UI : Mate
Inscription : 05-07-2020

Re : [résolu] Comment utiliser nss-tls ? (DoH au lieu de DNS)

@--gilles--
Même en root j'obtiens l'erreur
ERROR: Neither directory contains a build file meson.build

J'applique donc ta consigne...

find / -iname meson.build -print


...et j'obtiens 825 lignes (que je ne poste pas), laquelle est la bonne ?:D


sudo find / -iname meson.build -print
 


find: ‘/run/user/1000/doc’: Permission non accordée
 


En root j'ai qu'une seule ligne.
Quand je vais dans le dossier "doc" il n'y qu'un dossier "by-app" et rien d'autre
Quand je vais dans le dossier "by-app" c'est vide. Pas de meson.build !
/run/user/1000/doc/by-app$

raleur a écrit :

Je ne comprends pas ce que tu cherches à faire avec les autres paquets, meson...


J'applique le tuto sur github car je ne sais pas comment faire. Je voudrais simplement pouvoir activer la fonction DoH de Firefox et que cela prenne en considération mon 'hosts' avec les sites que je bloque. Et même de pouvoir le faire manuellement ensuite en choisissant moi-même l'adresse DoH pour le faire sans Firefox.

De ce que je comprends il devrait suffire de configurer /etc/nss-tlsd.conf avec le ou les serveurs DoH à interroger et d'ajouter "tls" à la ligne "hosts:" dans /etc/nsswitch.conf pour activer l'utilisation de DoH



Bah en fait, j'avais déjà testé ça pour aller plus vite mais ça ne marche pas

cat nss-tls.conf


[global]
resolvers=https://9.9.9.9/dns-query,https://dns.google/dns-query+get,https://1.1.1.1/dns-query


Je n'ai rien configuré, les adresses sont déjà là. Donc déjà configuré sauf si je veux mettre d'autres adresses ?


cat nsswitch.conf


# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         files systemd
group:          files systemd
shadow:         files
gshadow:        files

hosts:          files mdns4_minimal [NOTFOUND=return] tls dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis
 



J'ai bien mis le "tls" avant "dns"

marche pas

Hors ligne

#5 25-08-2021 09:43:21

raleur
Membre
Inscription : 03-10-2014

Re : [résolu] Comment utiliser nss-tls ? (DoH au lieu de DNS)

totoZero7 a écrit :

e voudrais simplement pouvoir activer la fonction DoH de Firefox et que cela prenne en considération mon 'hosts'


Ça, ce n'est pas possible. Pour utiliser DoH et prendre en compte /etc/hosts, il faut que firefox utilise le resolveur standard (libnss) et activer DoH dans ce dernier, et non dans firefox.

totoZero7 a écrit :

j'avais déjà testé ça pour aller plus vite mais ça ne marche pas


Qu'as-tu testé exactement et qu'est-ce qui ne marche pas ?


Il vaut mieux montrer que raconter.

Hors ligne

#6 25-08-2021 10:52:24

--gilles--
Membre
Lieu : Orléans - La Source
Distrib. : debian 11
Noyau : Linux 5.10.0-9-amd64
(G)UI : mutter 3.38.6-2~deb11u1
Inscription : 15-02-2016

Re : [résolu] Comment utiliser nss-tls ? (DoH au lieu de DNS)

Je viens de relire le tuto : https://github.com/dimkr/nss-tls
à mon avis la construction par meson est devenue inutile puisqu'il existe maintenant le paquet libnss-tls. Il faudrait trouver et supprimer ces résidus de compilation inutiles puis configurer nsswitch.conf et nss-tls.conf.

Nos vies commencent à prendre fin le jour où nous devenons silencieux à propos des choses qui comptent. Martin Luther King

En ligne

#7 26-08-2021 22:20:20

totoZero7
Membre
Distrib. : Debian 11 bullseye
Noyau : Linux 5.10.0-8-amd64
(G)UI : Mate
Inscription : 05-07-2020

Re : [résolu] Comment utiliser nss-tls ? (DoH au lieu de DNS)

raleur a écrit :

Qu'as-tu testé exactement et qu'est-ce qui ne marche pas ?



j'avais fait un test sur le site https://www.cloudflare.com/ssl/encrypted-sni/
qui me disait "We weren’t able to detect whether you were using a DNS resolver over secure transport."
je les croyais sur parole comme j'y connais rien

Du coup j'ai allumé Wireshark et regardé les explications de ce site pour comprendre:
https://blog.cloudflare.com/fr-fr/dns-e … ned-fr-fr/

Si je fais un test sans tls alors je vois une requette avec le "Protocol" "DNS" et l'adresse IP. Donc non chiffré
Si je fais un test avec tls mis, je ne vois pas de "Protocol" "DNS" (par contre, yen a un dans l'image du tuto). Donc en en théorie chiffré
Donc ça fonctionne

@--giles--, en effet ça ne sert à rien meson

J'ai toutefois une question
tls semble prendre le dessus, je n'ai plus besoin de mettre des DNS dans la partie resolv.conf du coup ?

Hors ligne

#8 26-08-2021 23:47:53

raleur
Membre
Inscription : 03-10-2014

Re : [résolu] Comment utiliser nss-tls ? (DoH au lieu de DNS)

totoZero7 a écrit :

Si je fais un test avec tls mis, je ne vois pas de "Protocol" "DNS"


Par contre tu dois voir à la place une connexion HTTPS avec l'un des serveurs définis dans nss-tls.conf.

totoZero7 a écrit :

tls semble prendre le dessus


Normal puisqu'il est placé avant dns dans nsswitch.conf.

totoZero7 a écrit :

je n'ai plus besoin de mettre des DNS dans la partie resolv.conf du coup ?


resolv.conf continue à servir pour les programmes qui font directement des requêtes DNS sans passer par le résolveur de la libc.


Il vaut mieux montrer que raconter.

Hors ligne

#9 27-08-2021 11:47:08

--gilles--
Membre
Lieu : Orléans - La Source
Distrib. : debian 11
Noyau : Linux 5.10.0-9-amd64
(G)UI : mutter 3.38.6-2~deb11u1
Inscription : 15-02-2016

Re : [résolu] Comment utiliser nss-tls ? (DoH au lieu de DNS)

Bonjour smile
Je lis le blog de Stéphane BORTZMEYER un article concernant DoH : https://www.bortzmeyer.org/8484.html

Vous pouvez y lire :

En tout cas, le point important est que DoH (ou DNS-sur-TLS) ne protège la vie privée que si le serveur DoH est honnête. C'est une limitation classique de TLS : « TLS permet de s'assurer qu'on communique bien avec Satan, et qu'un tiers ne peut pas écouter ». Mais DoH n'impose pas d'utiliser un serveur public, et impose encore moins qu'il s'agisse d'un serveur d'un GAFA.



[…]
Plus loin dans l'article, il propose dans des liens des serveurs DoH publics non-GAFA. Cela vaudrait le coup de changer nss-tls.conf et virer :

[global]
resolvers=https://9.9.9.9/dns-query,https://dns.google/dns-query+get,https://1.1.1.1/dns-query

pour mettre des serveurs DoH publics que l'on présume plus respectueux de la vie privée.


Nos vies commencent à prendre fin le jour où nous devenons silencieux à propos des choses qui comptent. Martin Luther King

En ligne

#10 27-08-2021 22:46:33

totoZero7
Membre
Distrib. : Debian 11 bullseye
Noyau : Linux 5.10.0-8-amd64
(G)UI : Mate
Inscription : 05-07-2020

Re : [résolu] Comment utiliser nss-tls ? (DoH au lieu de DNS)

raleur a écrit :

resolv.conf continue à servir pour les programmes qui font directement des requêtes DNS sans passer par le résolveur de la libc.


Comment je peux savoir quels sont les programmes qui font des requêtes seul ? je pensais que tous les programmes passaient par les dépots.


@--giles--
Il est super barbu l'article de Stéphane BORTZMEYER. J'ai rien compris.


--giles-- a écrit :


Plus loin dans l'article, il propose dans des liens des serveurs DoH publics non-GAFA. Cela vaudrait le coup de changer nss-tls.conf et virer :

[global]
resolvers=https://9.9.9.9/dns-query,https://dns.google/dns-query+get,https://1.1.1.1/dns-query

pour mettre des serveurs DoH publics que l'on présume plus respectueux de la vie privée.



Je n'ai pas vu de lien. (je demande pas mieux que de changer)
Il fait un test avec powerdns.org mais qui ne semble plus être en fonction ( ça dit Shutdown of this service sur le site)
Il y a seulement https://doh.defaultroutes.de/#sec-3 dans les liens mais je n'arrive pas à le faire fonctionner.
l'adresse ip du site est 5.45.107.88
je rajoute /dns-query et le mets ainsi:

resolvers=https://5.45.107.88/dns-query



ça ne fonctionne pas (meme en métant juste l'adresse ip). Ça me renvoit sur mes DNS par défaut

Après en DNS alternatif il y en a là https://servers.opennic.org/ . il y a aussi des possibilités DoH mais c'est pareil, je ne sais pas comment les utiliser.
Ça parle également de DNSCrypt et là je suis complètement perdu. j'ai fait une tentative une fois de l'installer et j'ai échoué.

Hors ligne

#11 28-08-2021 10:47:00

--gilles--
Membre
Lieu : Orléans - La Source
Distrib. : debian 11
Noyau : Linux 5.10.0-9-amd64
(G)UI : mutter 3.38.6-2~deb11u1
Inscription : 15-02-2016

Re : [résolu] Comment utiliser nss-tls ? (DoH au lieu de DNS)

Rassure-toi ! Je suis très très loin de tout comprendre. Je suis intéressé par la résolution de noms de domaines via HTTPS ( DoH ), mais comme je suis très loin de bien comprendre pour l'instant je me suis abstenu.

Pour les serveurs publics mettant en oeuvre DoH, il y a la liste établie par curl :

https://github.com/curl/curl/wiki/DNS-o … le-servers

Je ne comprends pas comment fonctionne la configuration de nsswitch.conf et cela me gênerait de mettre des options au hasard. D'ailleurs dans une question sur Stackoverflow, les réponses sont de copier la configuration originale pour pouvoir la restaurer en cas de besoin :

https://unix.stackexchange.com/question … afely?rq=1

[…]

Je viens de trouver ceci pour expliciter la réponse de raleur, pour différencier les logiciels qui passent par la glibc, qui passe par NSS, qui passe par systemd-resolved et ceux qui n'y passent pas.

https://blog.ght1pc9kc.fr/2020/comprend … ebian.html

D'après ce que j'ai compris, il faudrait mettre le mot resolve avant le mot dns dans nsswitch.conf à la ligne hosts pour activer DoH ( la résolution de noms de domaines via HTTPS ).


Dans l'article il est écrit le résultat de cette commande :

cat /etc/nsswitch.conf | grep hosts

hosts:          files mdns4_minimal [NOTFOUND=return] resolve [!UNAVAIL=return] dns myhostname




Question à raleur : Comment être sûr que DoH est activé ? J'avais pensé sauvegarder la réponse d'un navigateur à https://www.amiunique.org/fp sans avoir effectué la démarche et la comparer à la réponse après avoir effectué la démarche. Est-ce valable comme test ?



Mais peut-être y-a-t-il aussi plus subtil avec des lignes de commande ?

Dernière modification par --gilles-- (28-08-2021 11:08:42)


Nos vies commencent à prendre fin le jour où nous devenons silencieux à propos des choses qui comptent. Martin Luther King

En ligne

#12 28-08-2021 11:34:16

raleur
Membre
Inscription : 03-10-2014

Re : [résolu] Comment utiliser nss-tls ? (DoH au lieu de DNS)

totoZero7 a écrit :

Comment je peux savoir quels sont les programmes qui font des requêtes seul ?


Bonne question... Il y a tous les outils qui font directement des requêtes DNS (host, dig, nslookup...) et peut-être des programmes qui utilisent des types de requêtes DNS non pris en charge par NSS (enregistrements MX, SRV, TXT...) mais sans certitude.

totoZero7 a écrit :

je pensais que tous les programmes passaient par les dépots.


Quels dépôts ?


Il vaut mieux montrer que raconter.

Hors ligne

#13 28-08-2021 11:37:33

raleur
Membre
Inscription : 03-10-2014

Re : [résolu] Comment utiliser nss-tls ? (DoH au lieu de DNS)

--gilles-- a écrit :

Comment être sûr que DoH est activé ?


Faire une capture du trafic réseau pour vérifier l'absence de trafic DNS (UDP ou TCP port 53) et la présence de trafic HTTPS (TCP port 443) avec les serveurs DoH définis dans la configuration.


Il vaut mieux montrer que raconter.

Hors ligne

#14 31-08-2021 01:38:24

totoZero7
Membre
Distrib. : Debian 11 bullseye
Noyau : Linux 5.10.0-8-amd64
(G)UI : Mate
Inscription : 05-07-2020

Re : [résolu] Comment utiliser nss-tls ? (DoH au lieu de DNS)

raleur a écrit :


totoZero7 a écrit :

je pensais que tous les programmes passaient par les dépots.


Quels dépôts ?



j'ai confondu les mises à jour des paquets par les dépots et lancement du programme. Question annulée

--gilles-- a écrit :


D'après ce que j'ai compris, il faudrait mettre le mot resolve avant le mot dns dans nsswitch.conf à la ligne hosts pour activer DoH ( la résolution de noms de domaines via HTTPS ).


ça fonctionne pour moi sans mettre le mot "resolve" à la ligne host
t'as peut-etre un serveur ?
dans le lien https://github.com/dimkr/nss-tls
ça dit Then, add "tls" to the "hosts" entry in /etc/nsswitch.conf, before "resolve", "dns" or anything else that contains "dns".
Donc si tu as le mot resolve, il faut mettre dns avant resolve

J'ai fait quelques tests
Si je mets l'adresse IP de cloudflare dans /nss-tls.conf et que je mets en commentaire les adresses IP dns (de gougeul pour le test) de /resolv.conf, ça fonctionne et je vérifie cela sur https://www.dnsleaktest.com

cat /etc/nss-tls.conf


resolvers=https://1.1.1.1/dns-query


cat /etc/resolv.conf


#nameserver 8.8.8.8


Si je mets l'adresse du nom de domaine de cloudflare, là ça ne marche pas

#resolvers=https://cloudflare-dns.com/dns-query



Si je mets l'adresse du nom de domaine de cloudflare ET décommente "#nameserver", là ça fonctionne et ça me donne même l'adresse de cloudflare avec https://www.dnsleaktest.com et non de google.
L'adresse par nom de domaine est pris en considération.
En regardant avec Wireshark, je vois une requète DNS vers google mais https://www.dnsleaktest.com me donne bien l'adresse DoH*

En testant le nom de domaine que tu as mis en lien avec Stéphane BORTZMEYER ça ne marche pas. C'est peut-etre ce site qui ne marche pas.

resolvers=https://doh.defaultroutes.de/dns-query



Je teste sur une des adresse au pif de la longue liste qui est fournis sur le site github que tu as juste avant et là ça fonctionne aussi

resolvers=https://doh.dns.sb/dns-query



*Je nage pour comprendre
En gros, faut mettre l'adresse ip, ce qui peut paraître logique, mais ça peut quand même fonctionner si on met le nom de de domaine seulement si toutefois le "resolv.conf" a une adresse de mise.
du coup qui prend le dessus ?
il y a un appel vers google et ensuite ça rechiffre ? ou c'est https://www.dnsleaktest.com qui a une façon de lire différemment et c'est donc un leurre ?

Maintenant j'ai une autre question qui me vient
Comment ça se passe quand on est en ipv6 par exemple ? ça se combine comment ?

oula ça fait beaucoup de questions tout ça!

Hors ligne

#15 31-08-2021 13:24:57

raleur
Membre
Inscription : 03-10-2014

Re : [résolu] Comment utiliser nss-tls ? (DoH au lieu de DNS)

totoZero7 a écrit :

ça fonctionne pour moi sans mettre le mot "resolve" à la ligne host


"resolve" est le résolveur DNS de systemd. Il est facultatif.

totoZero7 a écrit :

Si je mets l'adresse du nom de domaine de cloudflare, là ça ne marche pas
Si je mets l'adresse du nom de domaine de cloudflare ET décommente "#nameserver", là ça fonctionne


Normal, il faut bien quelque chose pour résoudre le nom du serveur DoH en adresse IP.

totoZero7 a écrit :

En regardant avec Wireshark, je vois une requète DNS vers google


Pour résoudre le nom de domaine du serveur DoH, je suppose ?

totoZero7 a écrit :

En gros, faut mettre l'adresse ip, ce qui peut paraître logique, mais ça peut quand même fonctionner si on met le nom de de domaine seulement si toutefois le "resolv.conf" a une adresse de mise.
du coup qui prend le dessus ?


C'est défini par l'ordre entre dns et tls dans nsswitch.conf.

totoZero7 a écrit :

Comment ça se passe quand on est en ipv6 par exemple ?


Si on est seulement en IPv6 (sans IPv4) il faut interroger des serveurs DNS et/ou DoH qui ont une adresse IPv6.
Si on est en double pile IPv4 et IPv6, on peut interroger des serveurs en IPv4 ou IPv6.
Dans les deux cas, ça n'a pas d'influence sur la capacité à résoudre des adresses IPv4 ou IPv6.


Il vaut mieux montrer que raconter.

Hors ligne

#16 01-09-2021 17:35:04

--gilles--
Membre
Lieu : Orléans - La Source
Distrib. : debian 11
Noyau : Linux 5.10.0-9-amd64
(G)UI : mutter 3.38.6-2~deb11u1
Inscription : 15-02-2016

Re : [résolu] Comment utiliser nss-tls ? (DoH au lieu de DNS)

Bonjour, avant de m'occuper de libnss et des configurations associées, je voudrais déjà partir de base avec les serveurs de noms de domaine qui me conviennent, sans trifouiller sauvagement par la suite /etc/resolv.conf puisque NetworkManager me modifie ce fichier sans tenir compte à 100% des informations que je modifie dans Paramètres -> Réseau

Je mets ici à titre de bloc-note et d'information  :
J'avais ceci, avec en premier deux adresses DNS d'OVH et la troisième de la FDN :

cat /etc/resolv.conf

# Generated by NetworkManager
search lan
nameserver 87.98.149.171
nameserver 91.121.58.181
nameserver 80.67.169.12
# NOTE: the libc resolver may not support more than 3 nameservers.
# The nameservers listed below may not be recognized.
nameserver 80.67.188.188
nameserver fe80::5a98:35ff:fea1:b06c%enp0s25
 



Je supprime dans Paramètres -> Réseau, la connexion que j'utilisais pour en recréer une autre avec un autre nom dans le but de supprimer les DNS d'OVH, mais NetworkManager force /etc/resolv.conf à laisser en premier dans la configuration les serveurs DNS d'OVH. Résultats :

cat /etc/resolv.conf

# Generated by NetworkManager
search lan
nameserver 87.98.149.171
nameserver 91.121.58.181
nameserver 80.67.188.188
# NOTE: the libc resolver may not support more than 3 nameservers.
# The nameservers listed below may not be recognized.
nameserver 80.67.169.12
nameserver fe80::5a98:35ff:fea1:b06c%enp0s25




whois 87.98.149.171| grep role

role:           OVH Technical Contact



whois 91.121.58.181 | grep role

role:           OVH Technical Contact



whois 80.67.188.188 | grep role

role:           NOC LDN







Apparemment, il y aurait un moyen de contourner ceci de manière appropriée avec les informations de ce site :
https://access.redhat.com/documentation … networking

Je le mettrais en œuvre dès que j'aurais le temps.


Nos vies commencent à prendre fin le jour où nous devenons silencieux à propos des choses qui comptent. Martin Luther King

En ligne

#17 01-09-2021 20:17:48

raleur
Membre
Inscription : 03-10-2014

Re : [résolu] Comment utiliser nss-tls ? (DoH au lieu de DNS)

Tout cela n'a aucun rapport avec DoH.
Comment as-tu configuré la connexion dans NetworkManager ? Si c'est en "Automatique (DHCP)" avec des serveurs DNS supplémentaires, c'est normal. Si tu ne veux que les serveurs DNS configurés manuellement et pas ceux obtenus par DHCP, il faut choisir "Adresses automatiques uniquement (DHCP)".

Dernière modification par raleur (01-09-2021 20:18:27)


Il vaut mieux montrer que raconter.

Hors ligne

#18 02-09-2021 21:05:15

totoZero7
Membre
Distrib. : Debian 11 bullseye
Noyau : Linux 5.10.0-8-amd64
(G)UI : Mate
Inscription : 05-07-2020

Re : [résolu] Comment utiliser nss-tls ? (DoH au lieu de DNS)

Merci à vous deux. Je marque la page en résolu car la question de base est réglée

Hors ligne

#19 02-09-2021 21:53:06

--gilles--
Membre
Lieu : Orléans - La Source
Distrib. : debian 11
Noyau : Linux 5.10.0-9-amd64
(G)UI : mutter 3.38.6-2~deb11u1
Inscription : 15-02-2016

Re : [résolu] Comment utiliser nss-tls ? (DoH au lieu de DNS)

Les tutos se contredisent, mais c'est normal puisqu'il existe plusieurs moyens de de configurer et d'activer DoH.

Mais est-ce que tu pourrais récapituler les étapes de ta méthode pour les personnes qui voudraient utiliser DoH ( résoudre les noms de domaine via HTTPS ) ?

Nos vies commencent à prendre fin le jour où nous devenons silencieux à propos des choses qui comptent. Martin Luther King

En ligne

#20 02-09-2021 22:26:48

totoZero7
Membre
Distrib. : Debian 11 bullseye
Noyau : Linux 5.10.0-8-amd64
(G)UI : Mate
Inscription : 05-07-2020

Re : [résolu] Comment utiliser nss-tls ? (DoH au lieu de DNS)

Pour chiffrer le DNS

1. Il faut installer le paquet libnss-tls (à partir de Debian 11)

sudo apt-get install libnss-tls


il install également la dépendance "nss-tlsd"


2. Dans le fichier /etc/nsswitch.conf ajouter "tls" au "hosts" avant "dns" ou "resolve" si il est présent

sudo nano /etc/nsswitch.conf


hosts:          files mdns4_minimal [NOTFOUND=return] dns



devient:

hosts:          files mdns4_minimal [NOTFOUND=return] tls dns




3. Changer la clé "resolvers" de nss-tls.conf (si vous n'aimez pas google smile )

sudo nano /etc/nss-tls.conf


Par défaut:

[global]
resolvers=https://9.9.9.9/dns-query,https://dns.google/dns-query+get,https://1.1.1.1/dns-query



Mettre à la place (exemple avec cloudflare et quad9 mais vous pouvez mettre autre chose...) :

resolvers=https://1.1.1.1/dns-query,https://1.0.0.1/dns-query,https://9.9.9.9/dns-query




4. Déconnecter/reconneter le réseau


C'est tout simple et très rapide à faire
Pour le vérifier ?
Il vous faut installer un sniffeur comme Wireshark, et observer si vous voyez une requête DNS (qui est donc en clair) quand lancer une page sur le net. Si vous la voyez c'est que ce n'est pas chiffré, sinon c'est que c'est chiffré.

Hors ligne

Pied de page des forums