Debian-facile

Hypathie

Membre

Lieu : Chambéry _ Montréal

Distrib. : Jessie

Noyau : Linux debian 3.16.0-4-586

(G)UI : Cinnamon Mate Xfce

Inscription : 28-12-2013

wiki: DNS bind9

Coucou tout le monde,
par ici Installation et configuration d'un serveur DNS en local avec bind9 sous wheezy.

anonyme

Invité

Re : wiki: DNS bind9

Bonjour
j'ai remarqué que tu utilise la clé par défaut de bind sur le wiki , il est plus correct d'en créer une (celle que tu utilise est utilisée sur toutes les installation de bind , donc facile a connaitre   )
le tuto de debian wiki fonctionne trés bien => https://wiki.debian.org/fr/Bind9
dans la section =>  Signature TSIG

Note: ci dessous j'ai repris le tuto ci dessus est ajouté quelques notes pour qu il soit plus clair pour tous (l avertissement pour le fichier RNDC.key est faux , elle peut etre lu , voir ci dessous )

Signature TSIG

Cette signature a pour but d'authentifier les transactions avec BIND.
Ainsi, le serveur DHCP ne pourra mettre à jour le domaine example.com que s'il dispose de cette clef.
On recopie une clef existante :
on se place dans le dossier de bind

# cd /etc/bind/
 

on ouvre la clé fourni a l'installation (tu a précisé que il ne faut pas l'ouvrir )

# cat rndc.key
key "rndc-key" {
        algorithm hmac-md5;
        secret "QJc08cnP1xkoF4a/eSZZbw==";
};
 

on fait une image de la clé avec son nom de domaine (ici le nom de domaine pour exemple "exemple.com" )

# cp rndc.key ns-example-com_rndc-key
 

On génère une nouvelle clef avec les options suivantes :

    algorithme HMAC-MD5 - identifiant 157 (obligatoire pour une signature TSIG et seul algorithme supporté par BIND)

    longeur de 512 octets (multiple de 64 avec une longueur maximale de 512 pour l'algorithme ci-dessus)

    nom : ns-example-com_rndc-key
on lance la création de la nouvelle clé

dnssec-keygen -a HMAC-MD5 -b 512 -n USER ns-example-com_rndc-key
Kns-example-com_rndc-key.+157+53334
 

Le footprint associé à la clef est 53334. On obtient alors deux fichiers, l'un avec une extension key et l'autre avec une extension private.
On substitue la clef présente dans le fichier ns-example-com_rndc-key par celle présente dans un de ces derniers.
On ouvre le fichier généré et on utilise le copier / coller

# cat Kns-example-com_rndc-key.+157+53334.private
Private-key-format: v1.2
Algorithm: 157 (HMAC_MD5)
Key: LZ5m+L/HAmtc9rs9OU2RGstsg+Ud0TMXOT+C4rK7+YNUo3vNxKx/197o2Z80t6gA34AEaAf3F+hEodV4K+SWvA==
Bits: AAA=
 

On ouvre notre fichier key avec notre domaine et on colle la nouvelle clé créé au dessus a la place de l ancienne

# cat ns-example-com_rndc-key
key "ns-example-com_rndc-key" {
        algorithm hmac-md5;
        secret "LZ5m+L/HAmtc9rs9OU2RGstsg+Ud0TMXOT+C4rK7+YNUo3vNxKx/197o2Z80t6gA34AEaAf3F+hEodV4K+SWvA==";
};
 

Comme conseil :
Le fichier ns-example-com_rndc-key ne doit pas être world-readable, afin de garantir la sécurité.
Celui-ci sera inséré dans la configuration de bind via une directive include car la configuration de bind est quant à elle world-readable.
On pensera aussi à supprimer les fichiers key et private précédemment générés. (ceux qui commencent par "Kns.........  "
On utilise cette clé comme précisé dans le tuto (qui est beaucoup plus sérieuse que celle fourni par bind a l'installation )

PS: le tuto peut etre modifié si vous etes d'accord et qu il n y a pas d'erreur
A été testé plusieurs fois sur stretch

Dernière modification par anonyme (16-10-2016 16:19:32)

anonyme

Invité

Re : wiki: DNS bind9

Aprés relecture du tuto , mes excuses a Hypathie   
voici le contenu de la clé par defaut

key "rndc-key" {
  algorithm hmac-md5;
  secret "6BiPcGuFxQOWp75+V6RuDQ==";
};
 

sur le tuto elle modifie ce contenu et elle génére la clé a chaque intérogation
le contenu de son fichier RNDC.key

# Start of rndc.conf
key "rndc-key" {
        algorithm hmac-md5;
        secret "xxxxxxxxxxxxxxxxx";
};

#options {
#       default-key "rndc-key";
#       default-server 127.0.0.1;
#       default-port 953;
#};
# End of rndc.conf

# Use with the following in named.conf, adjusting the allow list as needed:
# key "rndc-key" {
#       algorithm hmac-md5;
#       secret "xxxxxxxxxxxxxx";
# };
#
# controls {
#       inet 127.0.0.1 port 953
#               allow { 127.0.0.1; } keys { "rndc-key"; };
# };
# End of named.conf
 

je sais pas quel est la meilleure méthode , celle du "tuto" ou celle de "debian wiki bind"
PS: malgrés son avertissement au début elle ouvre la clé avec vim pour modification 

personnellement j'ai une préférence pour la méthode que j'explique au dessus , la clé me semble plus robuste , j'ai pas testé la méthode du wiki

nota: ce fichier correspond a l'ancienne version de wheezy de bind9 , et je pense que la clé correspond a celle de l'installation et ne change pas (donc identique sur toutes les installation de bind )
j'en revient a ma premiere conclusion , ceci => secret "xxxxxxxxxxxxxx";  quelle a masqué est la clé par défaut
le reste de son script est commenté .
alors que dans mon exemple c'est la clé ns--exemple-com-rndc-key qui est utilisé

Dernière modification par anonyme (16-10-2016 17:09:35)

smolski

quasi...modo

Lieu : AIN

Distrib. : backports (buster) 10

Noyau : Linux 4.19.0-8-amd64

(G)UI : gnome

Inscription : 21-10-2008

Re : wiki: DNS bind9

Ok, j'ai mis le tuto dans le wiki, je vous laisse le tatouiller dans le sens que vous désirez.
Le tuto officiel mis en copie est ici :
https://debian-facile.org/:doc:reseau:serveur:bind9

Dernière modification par smolski (16-01-2017 07:01:40)

---

saque eud dun (patois chtimi : fonce dedans)

alexglvr

Membre

Inscription : 26-04-2017

Re : wiki: DNS bind9

Bonjour,

Sur une install de dev. Debian en virtualbox, je cherche à installer un serveur mail dans le but d'avoir des adresses de type en @toto.org

J'ai donc suivi le tuto afin d'installer le serveur DNS (tuto très bien fait d'ailleurs, merci).
cependant, il y a un point que je n'arrive pas à faire fonctionner :

NB:
hostname = debian
ip de ma VB = 10.0.2.15

Sous Firefox, l'url http://debian.toto.org me renvoie bien sur mon serveur, idem pour http://debian (et bien sur pour http://localhost)
Par contre, il n'arrive pas à résoudre http://toto.org

Ai-je loupé quelque chose?
Ai-je besoin que toto.org pointe sur mon serveur pour que mon serveur mail en @toto.org fonctionne?

Merci pour votre aide et désolé pour ces questions de débutant

Alex

smolski

quasi...modo

Lieu : AIN

Distrib. : backports (buster) 10

Noyau : Linux 4.19.0-8-amd64

(G)UI : gnome

Inscription : 21-10-2008

Re : wiki: DNS bind9

Salut alexglvr,

Ouvre un topic dans la section Réseau plutôt qu'ici qui ne concerne que le tuto du post#1.

---

saque eud dun (patois chtimi : fonce dedans)

alexglvr

Membre

Inscription : 26-04-2017

Re : wiki: DNS bind9

Re,

Je me suis rendu compte que suite au tuto, lorsque je redémarre le système, je perds ma configuration réseau seul le lo reste :

root@debian:/home/alexglvr# ifconfig
lo        Link encap:Boucle locale 
          inet adr:127.0.0.1  Masque:255.0.0.0
          adr inet6: ::1/128 Scope:Hôte
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:16 errors:0 dropped:0 overruns:0 frame:0
          TX packets:16 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:0
          RX bytes:920 (920.0 B)  TX bytes:920 (920.0 B)

root@debian:/home/alexglvr#

Comment puis-je la rétablir et éviter d'avoir à le faire à chaque redémarrage ?