editor, reviewer
416
modifications
« Utiliser Unbound avec DNSSEC » : différence entre les versions
Aller à la navigation
Aller à la recherche
aucun résumé des modifications
Aucun résumé des modifications |
Aucun résumé des modifications |
||
| Ligne 110 : | Ligne 110 : | ||
=== Gestion DNSSEC === | === Gestion DNSSEC === | ||
La gestion DNSSEC se fait par l'usage de l'outil unbound-anchor qui crée un fichier de clé nécessaire et l'ajout de la variable 'auto-trust-anchor-file' qui pointe vers ledit fichier de clés. | La gestion DNSSEC se fait par l'usage de l'outil '[https://unbound.net/documentation/unbound-anchor.html unbound-anchor]' qui crée un fichier de clé nécessaire et l'ajout de la variable 'auto-trust-anchor-file' qui pointe vers ledit fichier de clés. | ||
{{Root2|Text=unbound-anchor -a "/var/lib/unbound/root.key" }} | |||
La variable 'auto-trust-anchor-file' est normalement déclarée dans le fichier '/etc/unbound/unbound.conf.d/root-auto-trust-anchor-file.conf'. ''Si ce fichier n'existe pas, vous pouvez l'ajouter à votre fichier de configuration personnelle, ou créer ledit fichier qui sera pris en charge lors du (re)démarrage lié au service unbound''. Elle a cette teneur : | |||
auto-trust-anchor-file: "/var/lib/unbound/root.key" | |||
{{Attention2|Text=Veillez à redémarrer le service unbound si vous l'avez configuré après l'installation et le démarrage post-install ! }} | |||
==== Dig test DNSSEC ==== | |||
Un premier test à faire est l'usage de la commande 'dig', telle que : | |||
{{User2|Text=dig com. SOA +dnssec <br/> | |||
<br/> | |||
<nowiki>; <<>> DiG 9.10.3-P4-Debian <<>> com. SOA +dnssec</nowiki> <br/> | |||
<nowiki>;; global options: +cmd</nowiki> <br/> | |||
<nowiki>;; Got answer:</nowiki> <br/> | |||
<nowiki>;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60764</nowiki> <br/> | |||
<nowiki>;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 14, ADDITIONAL: 1</nowiki> <br/> | |||
<br/> | |||
(...) <br/>}} | |||
Ce qu'il faut repérer dans la sortie complète de la commande 'dig' est sur la ligne 'flags:' : il faut la présence du drapeau 'ad', si celui-ci figure bien, c'est bon signe ! :D | |||
==== Unbound-host test DNSSEC ==== | |||
L'autre commande à utiliser est la commande 'unbound-host' qui permet de s'assurer du même résultat, telle que : | |||
{{User2|Text=unbound-host com. -f /var/lib/unbound/root.key -v <br/> | |||
com. has no address (secure) <br/> | |||
com. has no IPv6 address (secure) <br/> | |||
com. has no mail handler record (secure) }} | |||
{{User2|Text=unbound-host dnssec.cz -f /var/lib/unbound/root.key -v <br/> | |||
dnssec.cz has address 217.31.205.51 (secure) <br/> | |||
dnssec.cz has IPv6 address 2001:1488:0:3::5 (secure) <br/> | |||
dnssec.cz mail is handled by 10 mail.nic.cz. (secure) <br/> | |||
dnssec.cz mail is handled by 15 mx.nic.cz. (secure) <br/> | |||
dnssec.cz mail is handled by 20 bh.nic.cz. (secure) }} | |||
{{Root2|Text=unbound-host dnssec.cz -C /etc/unbound/unbound.conf -v <br/> | |||
[1472755792] libunbound[44222:0] debug: switching log to /var/log/unbound/unbound.log <br/> | |||
dnssec.cz has address 217.31.205.51 (secure) <br/> | |||
dnssec.cz has IPv6 address 2001:1488:0:3::5 (secure) <br/> | |||
dnssec.cz mail is handled by 10 mail.nic.cz. (secure) <br/> | |||
dnssec.cz mail is handled by 15 mx.nic.cz. (secure) <br/> | |||
dnssec.cz mail is handled by 20 bh.nic.cz. (secure) }} | |||
==== Test visuel ==== | |||
Un moyen visuel est d'ouvrir votre navigateur internet favori, puis d'aller sur les sites suivants : | |||
* [http://www.dnssec.cz www.dnssec.cz] ; si, sur la partie droite, vous voyez une clé verte, c'est tout autant bon signe ! | |||
* https://en.internet.nl/ : cliquez sur le lien titré "Test my internet connection" | |||