10 Mai
2018
10 Mai
'18
15:14
Ploc à tous,
Pour gérer dnssec avec re2o, on a fait des tests avec 5-1, globalement re2o marche avec
knot ou bind pour gérer des zones dns.
En ce qui concerne DNSEC, il apparait que utiliser knot est beaucoup plus simple, je vous
explique pourquoi. Evidemment peut-être que des éléments plus subtils m’ont échappé.
Avec bind, il faut générer les clefs avec une commande pour chaque zone, puis ensuite
lancer une commande sur le fichier de zone à chaque fois qu’on le modifie pour le signer,
cf
https://www.skyminds.net/serveur-dedie-mettre-en-place-dnssec-pour-securise…
<https://www.skyminds.net/serveur-dedie-mettre-en-place-dnssec-pour-securiser-les-dns-du-domaine/>
. Du coup il est nécessaire d’avoir un bout de re2o-tools qui s’occupe de lancer la
commande à chaque fois qu’on regen la zone.
Avec knot, c’est beaucoup plus simple, cf
https://www.swordarmor.fr/gestion-automatique-de-dnssec-avec-knot.html
<https://www.swordarmor.fr/gestion-automatique-de-dnssec-avec-knot.html> . Il suffit
d’ajouter dnssec-signing: on et dnssec-policy: default dans la zone, knot s’occupe alors
de générer la clef. Il reste juste à récup la DNSKEY et la publier chez
gandi/ovh/whatever.
A mon avis, knot simplifie grandement le process et ne nécessite pas d’avoir un script
re2o (ou autres) pour resigner la zone à chaque fois. Qu’en pensez-vous ?
—
Chirac
Afficher les réponses par date
10 Mai
10 Mai
15:28
J’ai update la doc sur le wiki federez : https://wiki.federez.net/admin:services:dns:knot
<https://wiki.federez.net/admin:services:dns:knot> pour l’exemple de config à
federez.
Le 10 mai 2018 à 15:14, Gabriel Detraz
<detraz(a)crans.org> a écrit :
Ploc à tous,
Pour gérer dnssec avec re2o, on a fait des tests avec 5-1, globalement re2o marche avec
knot ou bind pour gérer des zones dns.
En ce qui concerne DNSEC, il apparait que utiliser knot est beaucoup plus simple, je vous
explique pourquoi. Evidemment peut-être que des éléments plus subtils m’ont échappé.
Avec bind, il faut générer les clefs avec une commande pour chaque zone, puis ensuite
lancer une commande sur le fichier de zone à chaque fois qu’on le modifie pour le signer,
cf
https://www.skyminds.net/serveur-dedie-mettre-en-place-dnssec-pour-securise…
<https://www.skyminds.net/serveur-dedie-mettre-en-place-dnssec-pour-securiser-les-dns-du-domaine/>
. Du coup il est nécessaire d’avoir un bout de re2o-tools qui s’occupe de lancer la
commande à chaque fois qu’on regen la zone.
Avec knot, c’est beaucoup plus simple, cf
https://www.swordarmor.fr/gestion-automatique-de-dnssec-avec-knot.html
<https://www.swordarmor.fr/gestion-automatique-de-dnssec-avec-knot.html> . Il suffit
d’ajouter dnssec-signing: on et dnssec-policy: default dans la zone, knot s’occupe alors
de générer la clef. Il reste juste à récup la DNSKEY et la publier chez
gandi/ovh/whatever.
A mon avis, knot simplifie grandement le process et ne nécessite pas d’avoir un script
re2o (ou autres) pour resigner la zone à chaque fois. Qu’en pensez-vous ?
—
Chirac
16:00
Nouvel objet : [Roots] DNSEC et re2o
Depuis bind 9.7 bind signe la zone tout seul et depuis 9.9 (cette version est dans jessie)
le processus est complètement transparent vis a vis du fichier de zone. Tu modifie le
fichier de zone comme si la zone n'etait pas signée et bind s'occupe tout seul de
publier ou retirer les clefs et de signer ou re-signer la zone quand il y en à besoin. Il
faut juste effectivement générer les clefs a intervalle regulier (ou en avance) pour
assurer la rotation des ksk ou des zsk.
https://github.com/nitmir/bind-dnssec s'occupe de generer les clefs automatiquement
par exemple.
le lien que tu donnes pour bind est complètement outdated, sauf si tu veux garder les
clefs hors ligne, auquel cas, bind ne peut pas signer la zone tout seul vu qu'il
n'a pas accès aux clefs.
C'est dommage que ton lien sur knot ne parle pas de la rotation des ksk, c'est la
seule opération apres la configuration initiale encore non automatisable dans la gestion
de dnssec...
Le 10 mai 2018 15:14:37 GMT+02:00, Gabriel Detraz <detraz(a)crans.org> a écrit :
Ploc à tous,
Pour gérer dnssec avec re2o, on a fait des tests avec 5-1, globalement
re2o marche avec knot ou bind pour gérer des zones dns.
En ce qui concerne DNSEC, il apparait que utiliser knot est beaucoup
plus simple, je vous explique pourquoi. Evidemment peut-être que des
éléments plus subtils m’ont échappé.
Avec bind, il faut générer les clefs avec une commande pour chaque
zone, puis ensuite lancer une commande sur le fichier de zone à chaque
fois qu’on le modifie pour le signer, cf
https://www.skyminds.net/serveur-dedie-mettre-en-place-dnssec-pour-securise…
<https://www.skyminds.net/serveur-dedie-mettre-en-place-dnssec-pour-securiser-les-dns-du-domaine/>
. Du coup il est nécessaire d’avoir un bout de re2o-tools qui s’occupe
de lancer la commande à chaque fois qu’on regen la zone.
Avec knot, c’est beaucoup plus simple, cf
https://www.swordarmor.fr/gestion-automatique-de-dnssec-avec-knot.html
<https://www.swordarmor.fr/gestion-automatique-de-dnssec-avec-knot.html>
. Il suffit d’ajouter dnssec-signing: on et dnssec-policy: default
dans la zone, knot s’occupe alors de générer la clef. Il reste juste à
récup la DNSKEY et la publier chez gandi/ovh/whatever.
A mon avis, knot simplifie grandement le process et ne nécessite pas
d’avoir un script re2o (ou autres) pour resigner la zone à chaque fois.
Qu’en pensez-vous ?
—
Chirac
--
Valentin Samir
17:01
Nouvel objet : [Rezo] [Roots] DNSEC et re2o
Gérer les KSK automatiquement, ça nécessite de pouvoir modifier
automatiquement la configuration de sa zone chez son registrar, ça peut
être possible, mais ça semble normal de ne pas avoir cette logique là dans
un serveur DNS. Et vu que c'est pas une opération qu'on fait souvent en
général (le faire tous les ans semble largement suffisant et tous les 3 ou
5 ans pas scandaleux), on peut vivre avec :-)
Pour ceux qui se demandent de quoi on parle, une KSK, key signing key, ça
sert juste à signer des ZSK, zone signing keys, qui signent la zone. Une ou
plusieurs KSK sont publiées par le registry (qui gère le TLD, l'AFNIC pour
.fr par exemple) et c'est le registrar (Gandi, non non, il n'y a pas
d'autres choix ;-D), qui l'envoie pour vous au registry.
Le 10 mai 2018 à 16:00, Valentin Samir <valentin.samir(a)crans.org> a écrit :
Depuis bind 9.7 bind signe la zone tout seul et depuis
9.9 (cette version
est dans jessie) le processus est complètement transparent vis a vis du
fichier de zone. Tu modifie le fichier de zone comme si la zone n'etait pas
signée et bind s'occupe tout seul de publier ou retirer les clefs et de
signer ou re-signer la zone quand il y en à besoin. Il faut juste
effectivement générer les clefs a intervalle regulier (ou en avance) pour
assurer la rotation des ksk ou des zsk.
https://github.com/nitmir/bind-dnssec s'occupe de generer les clefs
automatiquement par exemple.
le lien que tu donnes pour bind est complètement outdated, sauf si tu veux
garder les clefs hors ligne, auquel cas, bind ne peut pas signer la zone
tout seul vu qu'il n'a pas accès aux clefs.
C'est dommage que ton lien sur knot ne parle pas de la rotation des ksk,
c'est la seule opération apres la configuration initiale encore non
automatisable dans la gestion de dnssec...
Le 10 mai 2018 15:14:37 GMT+02:00, Gabriel Detraz <detraz(a)crans.org> a
écrit :
Ploc à tous,
Pour gérer dnssec avec re2o, on a fait des tests avec 5-1, globalement
re2o marche avec knot ou bind pour gérer des zones dns.
En ce qui concerne DNSEC, il apparait que utiliser knot est beaucoup plus
simple, je vous explique pourquoi. Evidemment peut-être que des éléments
plus subtils m’ont échappé.
Avec bind, il faut générer les clefs avec une commande pour chaque zone,
puis ensuite lancer une commande sur le fichier de zone à chaque fois qu’on
le modifie pour le signer, cf https://www.skyminds.net/
serveur-dedie-mettre-en-place-dnssec-pour-securiser-les-dns-du-domaine/ .
Du coup il est nécessaire d’avoir un bout de re2o-tools qui s’occupe de
lancer la commande à chaque fois qu’on regen la zone.
Avec knot, c’est beaucoup plus simple, cf https://www.swordarmor.fr/
gestion-automatique-de-dnssec-avec-knot.html . Il suffit d’ajouter dnssec-signing:
on et dnssec-policy: default dans la zone, knot s’occupe alors de
générer la clef. Il reste juste à récup la DNSKEY et la publier chez
gandi/ovh/whatever.
A mon avis, knot simplifie grandement le process et ne nécessite pas
d’avoir un script re2o (ou autres) pour resigner la zone à chaque fois.
Qu’en pensez-vous ?
—
Chirac
--
Valentin Samir
_______________________________________________
Re2o mailing list
Re2o(a)federez.net
https://lists.federez.net/listinfo/re2o
16:37
Nouvel objet : [rezo] DNSEC et re2o
Sauf erreur de ma part, bind permet aussi de signer des zones
automatiquement (je crois que j'ai même un pendant un certain temps un
setup comme ça pour ma zone perso).
Mais dans tous les cas, depuis que j'ai testé knot et unbound, je n'ai plus
envie d'utiliser bind.
Déjà, knot et unbound ne font qu'un seul truc par processus, respectivement
servir une zone et résoudre des noms de domaines (récursivement) au lieu
d'avoir les deux ensembles.
Leur conf est beaucoup plus propre à mes yeux (c'est du YAML dans les deux
cas, c'est un peu chiant niveau indentation mais on n'a pas tout qui merde
pour un point-virgule oublié) et les deux fonctionnalités ne sont pas dans
les mêmes fichiers de conf.
Et niveau sécurité, on a moins souvent des failles importantes pour
lesquelles il faut màj rapidement dans les deux que dans bind (en même
temps, ils n'ont pas de legacy d'il y a 15 ans, ça aide probablement…)
Si vous utilisez knot sous stretch, je crois qu'il vaut mieux prendre la
version des backports.
Juste que ce soit clair, on ne parle que de knot ici, pas de knot-resolver
qui fait comme unbound des résolutions récursives (je ne l'ai jamais testé,
donc je n'ai pas d'avis dessus).
Et powerDNS est aussi a priori plus pratique que bind et bien séparé en
deux process, mais je n'ai pas d'expérience avec DNSSEC et powerdns.
Le 10 mai 2018 à 15:14, Gabriel Detraz <detraz(a)crans.org> a écrit :
Ploc à tous,
Pour gérer dnssec avec re2o, on a fait des tests avec 5-1, globalement
re2o marche avec knot ou bind pour gérer des zones dns.
En ce qui concerne DNSEC, il apparait que utiliser knot est beaucoup plus
simple, je vous explique pourquoi. Evidemment peut-être que des éléments
plus subtils m’ont échappé.
Avec bind, il faut générer les clefs avec une commande pour chaque zone,
puis ensuite lancer une commande sur le fichier de zone à chaque fois qu’on
le modifie pour le signer, cf https://www.skyminds.net/
serveur-dedie-mettre-en-place-dnssec-pour-securiser-les-dns-du-domaine/ .
Du coup il est nécessaire d’avoir un bout de re2o-tools qui s’occupe de
lancer la commande à chaque fois qu’on regen la zone.
Avec knot, c’est beaucoup plus simple, cf https://www.swordarmor.fr/
gestion-automatique-de-dnssec-avec-knot.html . Il suffit d’ajouter dnssec-signing:
on et dnssec-policy: default dans la zone, knot s’occupe alors de générer
la clef. Il reste juste à récup la DNSKEY et la publier chez
gandi/ovh/whatever.
A mon avis, knot simplifie grandement le process et ne nécessite pas
d’avoir un script re2o (ou autres) pour resigner la zone à chaque fois.
Qu’en pensez-vous ?
—
Chirac
_______________________________________________
Re2o mailing list
Re2o(a)federez.net
https://lists.federez.net/listinfo/re2o
2423
jours sans activité
2423
depuis la dernière activité
4 commentaires
3 participants
participants (3)
-
David Sinquin -
Gabriel Detraz -
Valentin Samir