[Unbound] Utiliser avec DNSSEC

Partagez ici vos Trucs et vos Astuces.
Répondre
Avatar de l’utilisateur
PengouinPdt
Contributeur
Contributeur
Messages : 1343
Inscription : 23 avr. 2016, 23:37
Localisation : 47/FR
Diaspora* : https://framasphere.org/u/hucste
Contact :
Status : Hors-ligne

Voilà, mon nouveau T&A, à savoir comment "Utiliser Unbound avec DNSSEC" : le but est d'avoir sur sa station, sa propre machine sous Debian, fonctionnelle en ayant un logiciel qui résoud les noms de domaines, les garde en "mémoire cache", afin de ne pas constamment interroger les serveurs DNS, tout en le faisant de manière dite sécurisée, par le biais de la technologie de communication DNSSEC.

C'est une nouvelle page sur notre wiki : Utiliser_Unbound_avec_DNSSEC

Concernant DNSSEC, voici la page d'informations de l'ICANN ...

----

Je remercie @Belzebuth qui m'a aidé à régler mes propres problèmes liés à l'usage de "Unbound". De là, je suis allé lire la documentation officielle, pour me rendre compte que le résolveur cache récursif est capable de discuter DNSSEC s'il est correctement configuré, sans autre ajout de logiciel - à moins que j'ai mal compris ... Bref, toutes les informations sont dans la page wiki ! :D

Plus d'uns ici connaissent, mais êtes-vous sûrs de l'avoir bien configuré ? c'est peut-être le moment de revisiter ses gammes :p
PengouinPdt { le seul, le vrai } ~ " Libre as a Pengouin "
- DIY - Debian Sid | Devuan Ceres
----
Ne réponds pas aux PM d'assistance
Avatar de l’utilisateur
BelZéButh
Contributeur
Contributeur
Messages : 454
Inscription : 22 avr. 2016, 08:39
Localisation : Ch'timi
Status : Hors-ligne

Ce sujet -vaste et pointu-, Stéphane va bien au-delà du M. Toutlemonde ....

Avec à la clef, toute une batterie de tests/explications, entre autres.

Recherche de « unbound ». -50 pages-
Recherche de « dnssec-trigger » - 8 pages-
Recherche de « dns » -50 pages-

Sans oublier, unbound_dns.

Tout le reste -sur la toile- vous pouvez oublier.
La première loi du libre et de tout hacker, au sens noble, le partage de la connaissance !
Site de réinformation ... http://www.panamza.com
Avatar de l’utilisateur
PengouinPdt
Contributeur
Contributeur
Messages : 1343
Inscription : 23 avr. 2016, 23:37
Localisation : 47/FR
Diaspora* : https://framasphere.org/u/hucste
Contact :
Status : Hors-ligne

BelZéButh a écrit :Ce sujet -vaste et pointu-, Stéphane va bien au-delà du M. Toutlemonde ....
Personnellement, je me doute :p
BelZéButh a écrit :Avec à la clef, toute une batterie de tests/explications, entre autres.

Recherche de « unbound ». -50 pages-
Recherche de « dnssec-trigger » - 8 pages-
Recherche de « dns » -50 pages-

Sans oublier, unbound_dns.

Tout le reste -sur la toile- vous pouvez oublier.
Et, je te remercie de ces précisions forts utiles pour ceux et celles qui veulent s'immerger plus en profondeur.
Quant à moi, j'ai essayé d'être le plus exhaustif et j'espère ne pas avoir fait d'erreurs, soit de traductions, soit de transcriptions d'idée !
PengouinPdt { le seul, le vrai } ~ " Libre as a Pengouin "
- DIY - Debian Sid | Devuan Ceres
----
Ne réponds pas aux PM d'assistance
Avatar de l’utilisateur
shao
Messages : 3
Inscription : 13 août 2018, 15:00
Status : Hors-ligne

Bonjour,

Je viens de réinstaller unbound sur ma machine, et j'en ai profité pour voir si y'avait du nouveau au niveau de la config, et suis tombé là-dessus : https://www.shaftinc.fr/blocage-pubs-unbound.html

Je voulais des avis sur le fait de remplacer :

Code : Tout sélectionner

    # bloque cetaines pubs
      local-zone: "doubleclick.net" redirect
      local-data: "doubleclick.net A 127.0.0.1"
Par :

Code : Tout sélectionner

      # bloque cetaines pubs
      local-zone: "doubleclick.net" static 

Je saisis pas vraiment la différence à l'utilisation, entre redirect et static.
Du coup je me demande c'est quoi concrètement le bénéfice de cette méthode ?
Avatar de l’utilisateur
shao
Messages : 3
Inscription : 13 août 2018, 15:00
Status : Hors-ligne

Alors en regardant de + près la documentation d'Unbound], j'ai finalement opté pour always_nxdomain au lieu de static ou de redirect.

always_nxdomain
Like static, but ignores local data and returns nxdomain for the query.
https://nlnetlabs.nl/documentation/unbo ... ound.conf/


Ce qui donne donc dans mon fichier /var/lib/unbound/unbound_ad_servers :
# bloque certaines pubs
local-zone: "doubleclick.net" always_nxdomain

Dernier truc, rapport au wiki, l'emplacement de root.hints et le chemin ajouté à unbound.conf, ne correspondent pas.
Il faut remplacer :
root-hints: "/var/unbound/etc/root.hints"
par
root-hints: "/var/lib/unbound/root.hints"
Avatar de l’utilisateur
PengouinPdt
Contributeur
Contributeur
Messages : 1343
Inscription : 23 avr. 2016, 23:37
Localisation : 47/FR
Diaspora* : https://framasphere.org/u/hucste
Contact :
Status : Hors-ligne

Merci à toi, @shao... je modifie la page wiki !
PengouinPdt { le seul, le vrai } ~ " Libre as a Pengouin "
- DIY - Debian Sid | Devuan Ceres
----
Ne réponds pas aux PM d'assistance
Répondre