Sauf erreur de ma part, bind permet aussi de signer des zones automatiquement (je crois que j'ai même un pendant un certain temps un setup comme ça pour ma zone perso).

Mais dans tous les cas, depuis que j'ai testé knot et unbound, je n'ai plus envie d'utiliser bind.

Déjà, knot et unbound ne font qu'un seul truc par processus, respectivement servir une zone et résoudre des noms de domaines (récursivement) au lieu d'avoir les deux ensembles.
Leur conf est beaucoup plus propre à mes yeux (c'est du YAML dans les deux cas, c'est un peu chiant niveau indentation mais on n'a pas tout qui merde pour un point-virgule oublié) et les deux fonctionnalités ne sont pas dans les mêmes fichiers de conf.
Et niveau sécurité, on a moins souvent des failles importantes pour lesquelles il faut màj rapidement dans les deux que dans bind (en même temps, ils n'ont pas de legacy d'il y a 15 ans, ça aide probablement…)

Si vous utilisez knot sous stretch, je crois qu'il vaut mieux prendre la version des backports.

Juste que ce soit clair, on ne parle que de knot ici, pas de knot-resolver qui fait comme unbound des résolutions récursives (je ne l'ai jamais testé, donc je n'ai pas d'avis dessus).
Et powerDNS est aussi a priori plus pratique que bind et bien séparé en deux process, mais je n'ai pas d'expérience avec DNSSEC et powerdns.


Le 10 mai 2018 à 15:14, Gabriel Detraz <detraz@crans.org> a écrit :
Ploc à tous,

Pour gérer dnssec avec re2o, on a fait des tests avec 5-1, globalement re2o marche avec knot ou bind pour gérer des zones dns.

En ce qui concerne DNSEC, il apparait que utiliser knot est beaucoup plus simple, je vous explique pourquoi. Evidemment peut-être que des éléments plus subtils m’ont échappé.

Avec bind, il faut générer les clefs avec une commande pour chaque zone, puis ensuite lancer une commande sur le fichier de zone à chaque fois qu’on le modifie pour le signer, cf https://www.skyminds.net/serveur-dedie-mettre-en-place-dnssec-pour-securiser-les-dns-du-domaine/ . Du coup il est nécessaire d’avoir un bout de re2o-tools qui s’occupe de lancer la commande à chaque fois qu’on regen la zone.


Avec knot, c’est beaucoup plus simple, cf https://www.swordarmor.fr/gestion-automatique-de-dnssec-avec-knot.html . Il suffit d’ajouter dnssec-signing: on et dnssec-policy: default dans la zone, knot s’occupe alors de générer la clef. Il reste juste à récup la DNSKEY et la publier chez gandi/ovh/whatever.


A mon avis, knot simplifie grandement le process et ne nécessite pas d’avoir un script re2o (ou autres) pour resigner la zone à chaque fois. Qu’en pensez-vous ?


Chirac

  

_______________________________________________
Re2o mailing list
Re2o@federez.net
https://lists.federez.net/listinfo/re2o