editor, reviewer
416
modifications
« Utiliser Unbound avec DNSSEC » : différence entre les versions
Aller à la navigation
Aller à la recherche
aucun résumé des modifications
Aucun résumé des modifications |
|||
| Ligne 26 : | Ligne 26 : | ||
Voyons quelques détails dits de sécurité à paramétrer absolument dans votre propre fichier de configuration, que l'on nommera ainsi, pour l'exemple : /etc/unbound/unbound.conf.d/perso.conf | Voyons quelques détails dits de sécurité à paramétrer absolument dans votre propre fichier de configuration, que l'on nommera ainsi, pour l'exemple : /etc/unbound/unbound.conf.d/perso.conf | ||
{{Warning2|Text=Pour tester la configuration de vos fichiers, utilisez la commande 'unbound-checkconf' ! }} | |||
=== Gestion des réseaux autorisés === | === Gestion des réseaux autorisés === | ||
| Ligne 32 : | Ligne 34 : | ||
access-control: 192.168.1.0/24 allow ## j'autorise le réseau local | access-control: 192.168.1.0/24 allow ## j'autorise le réseau local | ||
access-control: 0.0.0.0/0 refuse ## j'interdis tout le reste de l'Internet ! | access-control: 0.0.0.0/0 refuse ## j'interdis tout le reste de l'Internet ! | ||
Le segment réseau peut-être de type IPv4 ou IPv6. L'action à allouer peut-être : | |||
* 'allow' permet l'accès | |||
* 'allow_snoop' permet l'accès, en utilisant une technique de "cache snopping", qui donne le droit d'examiner le contenu en cache. | |||
* 'deny' refuse l'accès - ''option par défaut, si non spécifiée'' | |||
* 'deny_non_local', | |||
* 'refuse' refuse l'accès, tout en envoyant un message d'erreur adéquat. | |||
* ou 'refuse_non_local' | |||
''Pour les autres options, ou afin de mieux saisir les subtilités, merci de lire la [https://unbound.net/documentation/unbound.conf.html page officielle anglaise] !'' | |||
=== Durcir et cacher certaines informations === | === Durcir et cacher certaines informations === | ||
harden-algo-downgrade: no | harden-algo-downgrade: no | ||
harden-glue: yes | harden-glue: yes | ||
hide-identity: yes | hide-identity: yes | ||
hide-version: yes | hide-version: yes | ||
use-caps-for-id: no | use-caps-for-id: no | ||
* 'harden-algo-downgrade' empêche ou non de choisir l’algorithme le plus faible . Si 'no' est choisi, ce sera l'algorithme le plus faible qui sera élu ... Si les zones DNS ne sont pas configurées pour fonctionner correctement avec cette option, cela peut entraîner des échecs de validation ; dans ce cas, il faut la mettre sur 'no'. | |||
* La variable 'use-caps-for-id' est expérimentale et peut créer des bogues, ou résultats incorrects - ne pas l'utiliser à moins d'être sûr de ce que vous faites ... | |||
=== Optimisation === | === Optimisation === | ||
| Ligne 111 : | Ligne 124 : | ||
Le site "https://pgl.yoyo.org/adservers/" met à jour, régulièrement une [http://pgl.yoyo.org/adservers/serverlist.php?hostformat=unbound&showintro=0&mimetype=plaintext liste de noms de domaines à bloquer], que vous pouvez utiliser pour ajouter ! | Le site "https://pgl.yoyo.org/adservers/" met à jour, régulièrement une [http://pgl.yoyo.org/adservers/serverlist.php?hostformat=unbound&showintro=0&mimetype=plaintext liste de noms de domaines à bloquer], que vous pouvez utiliser pour ajouter ! | ||
Puis faites l'inclusion du fichier dans votre fichier de configuration, tel que : | |||
{{Root2|Text=curl -sS -L --compressed "http://pgl.yoyo.org/adservers/serverlist.php?hostformat=unbound&showintro=0&mimetype=plaintext" > /var/lib/unbound/unbound_ad_servers <br/> | |||
chown unbound:unbound /var/lib/unbound/unbound_ad_servers }} | |||
{{Attention2|Text=Si vous ajoutez une liste, telle que celle nommée 'adservers' ci-dessus, pensez à commenter ou supprimer les lignes ci-dessus données en exemple, autrement vous aurez un conflit de doublon, et unbound ne fonctionnera pas ...}} | |||
=== Gérer des statistiques === | |||
statistics-interval: 0 | |||
extended-statistics: yes | |||
statistics-cumulative: no | |||
* L'option 'statistics-cumulative' est à paramétrer sur 'yes' si vous utilisez un outil d'affichage graphique des rapports, tel que Munin ... | |||
=== Gestion DNSSEC === | === Gestion DNSSEC === | ||
| Ligne 121 : | Ligne 149 : | ||
auto-trust-anchor-file: "/var/lib/unbound/root.key" | auto-trust-anchor-file: "/var/lib/unbound/root.key" | ||
De même, il faut ajouter les variables suivantes à votre propre fichier de configuration : | |||
harden-below-nxdomain: yes | |||
harden-dnssec-stripped: yes | |||
harden-referral-path: yes | |||
* L'option 'harden-referral-path' renforce la validation DNSSEC - c'est une option expérimentale, sans RFC, et peut poser des problèmes de performances ! | |||
{{Attention2|Text=Veillez à redémarrer le service unbound si vous l'avez configuré après l'installation et le démarrage post-install ! }} | {{Attention2|Text=Veillez à redémarrer le service unbound si vous l'avez configuré après l'installation et le démarrage post-install ! }} | ||
| Ligne 163 : | Ligne 199 : | ||
dnssec.cz mail is handled by 15 mx.nic.cz. (secure) <br/> | dnssec.cz mail is handled by 15 mx.nic.cz. (secure) <br/> | ||
dnssec.cz mail is handled by 20 bh.nic.cz. (secure) }} | dnssec.cz mail is handled by 20 bh.nic.cz. (secure) }} | ||
==== dnssec-trigger ==== | |||
Utilisez l'outil 'dnssec-trigger' est trivial : | |||
{{Root2|Text=dnssec-trigger-control status <br/> | |||
at 2016-09-01 08:41:22 <br/> | |||
authority 192.33.4.12: OK <br/> | |||
http ster.nlnetlabs.nl (185.49.140.10): OK <br/> | |||
state: auth secure }} | |||
''Pour en savoir un peu plus sur l'outil, les raisons de son existence et de son usage, lisez l'article de Stéphane Bortzmeyer : [http://www.bortzmeyer.org/dnssec-trigger.html dnssec-trigger, un outil pour mettre DNSSEC à la disposition de M. Toutlemonde]'' ... | |||
==== Test visuel ==== | ==== Test visuel ==== | ||