Debian
Debian-France
Debian-Facile
Debian-fr.org
Forum-Debian.fr
Debian ?
Communautés
Vous n'êtes pas identifié(e).
il m'a suggéré "nss-tlsd" avec que j'ai installé également.
J'ai tenté de suivre le tuto sur github (en anglais et je pige pas tout)
https://github.com/dimkr/nss-tls
J'ai installé les paquets suggérés
Puis executé cette commande
Ensuite j'ai fait
et j'obtiens ce message d'erreur:
Je suis bloqué.
Si un raleur passe dans le coin...
Dernière modification par totoZero7 (02-09-2021 19:41:46)
Hors ligne
mais raleur va dire qu'il existe une commande encore plus efficace. 
Mais je ne la connais pas.
Bonne journée !
Dernière modification par --gilles-- (24-08-2021 08:01:26)
Si tout le monde pense pareil, c'est qu'aucune personne ne pense beaucoup.
Intel® Core™2 Duo E8500 × 2
4,0 Gio DDR3 - 1333 MHz
Et si vous cherchiez votre solution dans le wiki => https://debian-facile.org/accueil 
Hors ligne
il m'a suggéré "nss-tlsd"
Non, nss-tlsd n'est pas une simple suggestion mais une dépendance obligatoire. C'est ce service qui gère DoH, libnss-tls ne faisant que l'interface avec NSS.
Je ne comprends pas ce que tu cherches à faire avec les autres paquets, meson... De ce que je comprends il devrait suffire de configurer /etc/nss-tlsd.conf avec le ou les serveurs DoH à interroger et d'ajouter "tls" à la ligne "hosts:" dans /etc/nsswitch.conf pour activer l'utilisation de DoH (ce que l'installation du paquet devrait logiquement faire).
Il vaut mieux montrer que raconter.
Hors ligne
...et j'obtiens 825 lignes (que je ne poste pas), laquelle est la bonne ?:D
En root j'ai qu'une seule ligne.
Quand je vais dans le dossier "doc" il n'y qu'un dossier "by-app" et rien d'autre
Quand je vais dans le dossier "by-app" c'est vide. Pas de meson.build !
/run/user/1000/doc/by-app$
Je ne comprends pas ce que tu cherches à faire avec les autres paquets, meson...
J'applique le tuto sur github car je ne sais pas comment faire. Je voudrais simplement pouvoir activer la fonction DoH de Firefox et que cela prenne en considération mon 'hosts' avec les sites que je bloque. Et même de pouvoir le faire manuellement ensuite en choisissant moi-même l'adresse DoH pour le faire sans Firefox.
De ce que je comprends il devrait suffire de configurer /etc/nss-tlsd.conf avec le ou les serveurs DoH à interroger et d'ajouter "tls" à la ligne "hosts:" dans /etc/nsswitch.conf pour activer l'utilisation de DoH
Bah en fait, j'avais déjà testé ça pour aller plus vite mais ça ne marche pas
Je n'ai rien configuré, les adresses sont déjà là. Donc déjà configuré sauf si je veux mettre d'autres adresses ?
J'ai bien mis le "tls" avant "dns"
marche pas
Hors ligne
e voudrais simplement pouvoir activer la fonction DoH de Firefox et que cela prenne en considération mon 'hosts'
Ça, ce n'est pas possible. Pour utiliser DoH et prendre en compte /etc/hosts, il faut que firefox utilise le resolveur standard (libnss) et activer DoH dans ce dernier, et non dans firefox.
j'avais déjà testé ça pour aller plus vite mais ça ne marche pas
Qu'as-tu testé exactement et qu'est-ce qui ne marche pas ?
Il vaut mieux montrer que raconter.
Hors ligne
Si tout le monde pense pareil, c'est qu'aucune personne ne pense beaucoup.
Intel® Core™2 Duo E8500 × 2
4,0 Gio DDR3 - 1333 MHz
Et si vous cherchiez votre solution dans le wiki => https://debian-facile.org/accueil
Hors ligne
Qu'as-tu testé exactement et qu'est-ce qui ne marche pas ?
j'avais fait un test sur le site https://www.cloudflare.com/ssl/encrypted-sni/
qui me disait "We weren’t able to detect whether you were using a DNS resolver over secure transport."
je les croyais sur parole comme j'y connais rien
Du coup j'ai allumé Wireshark et regardé les explications de ce site pour comprendre:
https://blog.cloudflare.com/fr-fr/dns-e … ned-fr-fr/
Si je fais un test sans tls alors je vois une requette avec le "Protocol" "DNS" et l'adresse IP. Donc non chiffré
Si je fais un test avec tls mis, je ne vois pas de "Protocol" "DNS" (par contre, yen a un dans l'image du tuto). Donc en en théorie chiffré
Donc ça fonctionne
@--giles--, en effet ça ne sert à rien meson
J'ai toutefois une question
tls semble prendre le dessus, je n'ai plus besoin de mettre des DNS dans la partie resolv.conf du coup ?
Hors ligne
Si je fais un test avec tls mis, je ne vois pas de "Protocol" "DNS"
Par contre tu dois voir à la place une connexion HTTPS avec l'un des serveurs définis dans nss-tls.conf.
tls semble prendre le dessus
Normal puisqu'il est placé avant dns dans nsswitch.conf.
je n'ai plus besoin de mettre des DNS dans la partie resolv.conf du coup ?
resolv.conf continue à servir pour les programmes qui font directement des requêtes DNS sans passer par le résolveur de la libc.
Il vaut mieux montrer que raconter.
Hors ligne
En tout cas, le point important est que DoH (ou DNS-sur-TLS) ne protège la vie privée que si le serveur DoH est honnête. C'est une limitation classique de TLS : « TLS permet de s'assurer qu'on communique bien avec Satan, et qu'un tiers ne peut pas écouter ». Mais DoH n'impose pas d'utiliser un serveur public, et impose encore moins qu'il s'agisse d'un serveur d'un GAFA.
[…]
Plus loin dans l'article, il propose dans des liens des serveurs DoH publics non-GAFA. Cela vaudrait le coup de changer nss-tls.conf et virer :
[global]
resolvers=https://9.9.9.9/dns-query,https://dns.google/dns-query+get,https://1.1.1.1/dns-query
pour mettre des serveurs DoH publics que l'on présume plus respectueux de la vie privée.
Si tout le monde pense pareil, c'est qu'aucune personne ne pense beaucoup.
Intel® Core™2 Duo E8500 × 2
4,0 Gio DDR3 - 1333 MHz
Et si vous cherchiez votre solution dans le wiki => https://debian-facile.org/accueil
Hors ligne
resolv.conf continue à servir pour les programmes qui font directement des requêtes DNS sans passer par le résolveur de la libc.
Comment je peux savoir quels sont les programmes qui font des requêtes seul ? je pensais que tous les programmes passaient par les dépots.
@--giles--
Il est super barbu l'article de Stéphane BORTZMEYER. J'ai rien compris.
Plus loin dans l'article, il propose dans des liens des serveurs DoH publics non-GAFA. Cela vaudrait le coup de changer nss-tls.conf et virer :
[global]
resolvers=https://9.9.9.9/dns-query,https://dns.google/dns-query+get,https://1.1.1.1/dns-query
pour mettre des serveurs DoH publics que l'on présume plus respectueux de la vie privée.
Je n'ai pas vu de lien. (je demande pas mieux que de changer)
Il fait un test avec powerdns.org mais qui ne semble plus être en fonction ( ça dit Shutdown of this service sur le site)
Il y a seulement https://doh.defaultroutes.de/#sec-3 dans les liens mais je n'arrive pas à le faire fonctionner.
l'adresse ip du site est 5.45.107.88
je rajoute /dns-query et le mets ainsi:
ça ne fonctionne pas (meme en métant juste l'adresse ip). Ça me renvoit sur mes DNS par défaut
Après en DNS alternatif il y en a là https://servers.opennic.org/ . il y a aussi des possibilités DoH mais c'est pareil, je ne sais pas comment les utiliser.
Ça parle également de DNSCrypt et là je suis complètement perdu. j'ai fait une tentative une fois de l'installer et j'ai échoué.
Hors ligne
Question à raleur : Comment être sûr que DoH est activé ? J'avais pensé sauvegarder la réponse d'un navigateur à https://www.amiunique.org/fp sans avoir effectué la démarche et la comparer à la réponse après avoir effectué la démarche. Est-ce valable comme test ?
Mais peut-être y-a-t-il aussi plus subtil avec des lignes de commande ?
Dernière modification par --gilles-- (28-08-2021 10:08:42)
Si tout le monde pense pareil, c'est qu'aucune personne ne pense beaucoup.
Intel® Core™2 Duo E8500 × 2
4,0 Gio DDR3 - 1333 MHz
Et si vous cherchiez votre solution dans le wiki => https://debian-facile.org/accueil
Hors ligne
Comment je peux savoir quels sont les programmes qui font des requêtes seul ?
Bonne question... Il y a tous les outils qui font directement des requêtes DNS (host, dig, nslookup...) et peut-être des programmes qui utilisent des types de requêtes DNS non pris en charge par NSS (enregistrements MX, SRV, TXT...) mais sans certitude.
je pensais que tous les programmes passaient par les dépots.
Quels dépôts ?
Il vaut mieux montrer que raconter.
Hors ligne
Comment être sûr que DoH est activé ?
Faire une capture du trafic réseau pour vérifier l'absence de trafic DNS (UDP ou TCP port 53) et la présence de trafic HTTPS (TCP port 443) avec les serveurs DoH définis dans la configuration.
Il vaut mieux montrer que raconter.
Hors ligne
totoZero7 a écrit :je pensais que tous les programmes passaient par les dépots.
Quels dépôts ?
j'ai confondu les mises à jour des paquets par les dépots et lancement du programme. Question annulée
D'après ce que j'ai compris, il faudrait mettre le mot resolve avant le mot dns dans nsswitch.conf à la ligne hosts pour activer DoH ( la résolution de noms de domaines via HTTPS ).
ça fonctionne pour moi sans mettre le mot "resolve" à la ligne host
t'as peut-etre un serveur ?
dans le lien https://github.com/dimkr/nss-tls
ça dit Then, add "tls" to the "hosts" entry in /etc/nsswitch.conf, before "resolve", "dns" or anything else that contains "dns".
Donc si tu as le mot resolve, il faut mettre dns avant resolve
J'ai fait quelques tests
Si je mets l'adresse IP de cloudflare dans /nss-tls.conf et que je mets en commentaire les adresses IP dns (de gougeul pour le test) de /resolv.conf, ça fonctionne et je vérifie cela sur https://www.dnsleaktest.com
Si je mets l'adresse du nom de domaine de cloudflare, là ça ne marche pas
Si je mets l'adresse du nom de domaine de cloudflare ET décommente "#nameserver", là ça fonctionne et ça me donne même l'adresse de cloudflare avec https://www.dnsleaktest.com et non de google.
L'adresse par nom de domaine est pris en considération.
En regardant avec Wireshark, je vois une requète DNS vers google mais https://www.dnsleaktest.com me donne bien l'adresse DoH*
En testant le nom de domaine que tu as mis en lien avec Stéphane BORTZMEYER ça ne marche pas. C'est peut-etre ce site qui ne marche pas.
Je teste sur une des adresse au pif de la longue liste qui est fournis sur le site github que tu as juste avant et là ça fonctionne aussi
*Je nage pour comprendre
En gros, faut mettre l'adresse ip, ce qui peut paraître logique, mais ça peut quand même fonctionner si on met le nom de de domaine seulement si toutefois le "resolv.conf" a une adresse de mise.
du coup qui prend le dessus ?
il y a un appel vers google et ensuite ça rechiffre ? ou c'est https://www.dnsleaktest.com qui a une façon de lire différemment et c'est donc un leurre ?
Maintenant j'ai une autre question qui me vient
Comment ça se passe quand on est en ipv6 par exemple ? ça se combine comment ?
oula ça fait beaucoup de questions tout ça!
Hors ligne
ça fonctionne pour moi sans mettre le mot "resolve" à la ligne host
"resolve" est le résolveur DNS de systemd. Il est facultatif.
Si je mets l'adresse du nom de domaine de cloudflare, là ça ne marche pas
Si je mets l'adresse du nom de domaine de cloudflare ET décommente "#nameserver", là ça fonctionne
Normal, il faut bien quelque chose pour résoudre le nom du serveur DoH en adresse IP.
En regardant avec Wireshark, je vois une requète DNS vers google
Pour résoudre le nom de domaine du serveur DoH, je suppose ?
En gros, faut mettre l'adresse ip, ce qui peut paraître logique, mais ça peut quand même fonctionner si on met le nom de de domaine seulement si toutefois le "resolv.conf" a une adresse de mise.
du coup qui prend le dessus ?
C'est défini par l'ordre entre dns et tls dans nsswitch.conf.
Comment ça se passe quand on est en ipv6 par exemple ?
Si on est seulement en IPv6 (sans IPv4) il faut interroger des serveurs DNS et/ou DoH qui ont une adresse IPv6.
Si on est en double pile IPv4 et IPv6, on peut interroger des serveurs en IPv4 ou IPv6.
Dans les deux cas, ça n'a pas d'influence sur la capacité à résoudre des adresses IPv4 ou IPv6.
Il vaut mieux montrer que raconter.
Hors ligne
Je supprime dans Paramètres -> Réseau, la connexion que j'utilisais pour en recréer une autre avec un autre nom dans le but de supprimer les DNS d'OVH, mais NetworkManager force /etc/resolv.conf à laisser en premier dans la configuration les serveurs DNS d'OVH. Résultats :
Apparemment, il y aurait un moyen de contourner ceci de manière appropriée avec les informations de ce site :
https://access.redhat.com/documentation … networking
Je le mettrais en œuvre dès que j'aurais le temps.
Si tout le monde pense pareil, c'est qu'aucune personne ne pense beaucoup.
Intel® Core™2 Duo E8500 × 2
4,0 Gio DDR3 - 1333 MHz
Et si vous cherchiez votre solution dans le wiki => https://debian-facile.org/accueil
Hors ligne
Dernière modification par raleur (01-09-2021 19:18:27)
Il vaut mieux montrer que raconter.
Hors ligne
Hors ligne
Si tout le monde pense pareil, c'est qu'aucune personne ne pense beaucoup.
Intel® Core™2 Duo E8500 × 2
4,0 Gio DDR3 - 1333 MHz
Et si vous cherchiez votre solution dans le wiki => https://debian-facile.org/accueil
Hors ligne
il install également la dépendance "nss-tlsd"
2. Dans le fichier /etc/nsswitch.conf ajouter "tls" au "hosts" avant "dns" ou "resolve" si il est présent
devient:
3. Changer la clé "resolvers" de nss-tls.conf (si vous n'aimez pas google )
Par défaut:
Mettre à la place (exemple avec cloudflare et quad9 mais vous pouvez mettre autre chose...) :
4. Déconnecter/reconneter le réseau
C'est tout simple et très rapide à faire
Pour le vérifier ?
Il vous faut installer un sniffeur comme Wireshark, et observer si vous voyez une requête DNS (qui est donc en clair) quand lancer une page sur le net. Si vous la voyez c'est que ce n'est pas chiffré, sinon c'est que c'est chiffré.
Hors ligne