[Linux-bruxelles] DNS et DNSSEC

Philippe Gérin philippe.gerin at telenet.be
Jeu 25 Mar 18:28:48 CET 2010


Bonjour,

J'aimerais un petit coup de main afin d'identifier ce qui se passe avec mon
BIND9 sous Fedora 11.
On ne sait jamais que quelqu'un aurait cette expérience.

Tout d'abord, le topo: 
Il s'agit d'un serveur chez OVH dont la config minimale est une Fedora 11
64bits.

Evidement, c'est très bien d'avoir un host du style nsXXXXXX.ovh.net et une
IP fixe mais le but à terme est d'y coller d'autre noms de domaine.
Je me suis donc attelé à la tache de la déclaration d'un nom de domaine afin
d'y voir plus clair.

Avant de commencer cela j'ai installé "Setup" afin de configurer le firewall
plus facilement.
j'ai donc installé le setuptool et les packages .tui pour system config
network et firewall.
J'ai de la sorte "trusté" le service DNS dans le firewall.

Bien ... ici donc je commence à configurer mon bind9 et à déclarer un nom de
domaine.

Premièrement : Je modifie quelque peu le named.conf basic de bind comme suit
:

- j'y ajoute dans les options la clause : version "SECRET"; ... ayant déjà
lu que cela était plus sécure... (quid ?)
- J'y commente les lignes suivantes :
//      listen-on port 53 { 127.0.0.1; };
//      listen-on-v6 port 53 { ::1; };
Car si je ne m'abuse ces lignes sont exclusivement valables lorsque l'on
veut que l'écoute ne soit qu'interne.
- j'y déclare l'inclusion d'un fichier named.conf.local

Secondo: J'y déclare mon nom de domaine en type master et le fichier zone
qui rend la définition :
Le dns primaire enregistré pour mon nom de domaine étant nsXXXXXX.ovh.net,
cela me semble normal de le faire agir en master.

Finalement ... Je définis le contenu de nomdedomaine.abc.zone.

J'attends un peu ... et hop ... voila que nslookup me montre bien mon
domaine à la bonne adresse...
tout semble alors OK !

Content de ce démarrage en douceur ... 
je vais consulter mon /var/log/messages après mon démarrage de named.
je constate une quirielle d'erreurs de ce type:

"named[2852]: no valid KEY resolving '94.in-addr.arpa/DNSKEY/IN':
202.12.28.140#53"

Je regarde quelques forums et vois quelqu'un qui afin d'éviter les messages,
disable carrement dnssec dans named.conf.
Or ... l'avantage de DNSSEC, c'est de sécuriser le protocol DNS ... bref
j'ai l'impression de prendre une guerre de retard.

Afin de trouver l'erreur, je vérifie d'abord les références de clefs dnssec
(dlv.isc.org.conf) ce qui semble correct.
Afin de ne plus avoir ces messages je désactive le dnssec-validation tout en
laissant le dnssec-enabled et cela semble disparaitre...

Le problème est que je ne comprends pas pourquoi et que je me demande si je
n'ai pas besoin de générer de clef pour mon nom de domaine ???

Quelqu'un peut-il m'aider à ce propos ?

merci :)

Phil.





Plus d'informations sur la liste de diffusion Linux-bruxelles