ReLoad

Thierry Jaouen ~ WikiBlog
"Rien à foutre d'être lu, tant que je peux me relire."

Outils pour utilisateurs

Outils du site


blog:2012:09:14:dnssec_bind_debian_squeeze

DNSSEC Bind Debian Squeeze

Activer et tester le DNSSEC sur Debian Squeeze, avec Bind 9.7.3 (fournit par defaut). ~~READMORE~~

simple serveur

Assez simple, mais les logs sont trop bavard.

Sources:

Vérifier qu'on a bien le fichier suivant:

/etc/bind/bind.keys

Et qu'il n'est pas corrompu:

$ md5sum /etc/bind/bind.keys 
3639ead199c952da2e28408bf80cba8f  /etc/bind/bind.keys

On peut trouver la dernière (et même) version ici:

Ensuite, on va editer simplement le fichier /etc/bind/named.conf.options (la plupart du temps):
Ajouter l'inclusion suivante:

include "/etc/bind/bind.keys";

(Quoiqu'il parait que ce fichier est chargé automatiquement… )
… et dans la section option , faire en sorte d'avoir:

dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;

Recharger bind:

# rndc reload

Voila. On peut tester localement comme cela:

$ dig sigok.verteiltesysteme.net @127.0.0.1
...
;; ANSWER SECTION:
sigok.verteiltesysteme.net. 60  IN      A       134.91.78.139
...

Ok si retourne bien une reponse “A”. (comme ci-dessus)

$ dig sigfail.verteiltesysteme.net @127.0.0.1
...
;; QUESTION SECTION:
;sigfail.verteiltesysteme.net.  IN      A
...

Ok si ce test echoue: c'est à dire, ne retourne pas une réponse “A” (comme ci-dessus)

On peut aussi tester à partir de son browser, dans la mesure où il utilise aussi un DNSSEC :

Voila.

serveurs avec ses domaines signés

Et bien en fait, non, je ne puis le faire parce que je n'ai pas de serveurs “slave” accessible pour être configurés en DNSSEC :-(

Ça ne sert a rien d'avoir un master en “DNSSEC” et pas les slaves…

blog/2012/09/14/dnssec_bind_debian_squeeze.txt · Dernière modification: 2012/09/19 11:20 par thierry