| Page 1 | |||
| Pseudo | Commentaire | ||
|---|---|---|---|
| Page 1 | |||
LeChat
|
# Posté le 02/12/2009 à 11:23:59 | ||
Meeeooow!
Études : CESI Angoulême |
|||
|
_nex_
|
# Posté le 02/12/2009 à 13:49:48 | ||
 
Études : IN'TECH INFO |
Excellent tuto :-)
 |
||
|
angelsafrania
|
# Posté le 02/12/2009 à 16:18:19 | ||
623
Ville : Lyon 8ème |
|||
|
elalitte
|
# Posté le 02/12/2009 à 17:13:54 | ||
 Avis : Très bon
Ville : Ivry-sur-seine |
|||
|
daqwpm
|
# Posté le 05/12/2009 à 00:42:44 | ||
rhalalalalala
Ville : Strasbourg |
Bonjour bonjour, Je me posais une question sur la pertinence de ce tutoriel. djbdns outre un nom imprononçable  est également complexe et anti-intuitif. J'ai du mal à saisir pourquoi un enregistrement A est symbolisé par un plus (même le @ est limite pour le MX, dans la mesure ou @ n'est absolument pas un symbole pour les emails à l'origine, et n'est toujours pas exclusivement utilisé pour les emails, loin s'en faut). De plus parler des failles de sécurité de BIND est, je l'espère, du second degré, du moins depuis BIND9. En conclusion, j'ai du mal à sasir l'utilité de ce tuto qui se veut pour le débutants, là où il prône un logiciel moins intuitif, moins agréable (compiler, etc), dangereux pour l'utilisateur linux de base (l'ajout des dépôts quand on n'y connaît rien peut être catastrophique), et SURTOUT moins bien documente (tant dans le homepages respectives que sur la toile) Enfin, il me semble un peu hypocrite de cracher sur la sécurité de bind : bind9 n'a pas de gros problèmes, et les anciennes version (BIND4 et BIND8 notamment) sont à replacer dans un contexte où la sécurité n'était pas une priorité absolue des application, au début d'internet grand public. Le même raisonnement doit s'appliquer à sendmail (et sont SetUID ignoble)(quoique sendmail a dans sa configuration le même niveau de complexité que djbdns  )
LoveLinux && MAKO Je vous laisse le choix dans la date. |
||
|
elalitte
|
# Posté le 05/12/2009 à 14:22:52 | ||
|
Avis : Très bon
Ville : Ivry-sur-seine |
Citation djbdns outre un nom imprononçable est également complexe et anti-intuitif.Je pense que ceci est un avis totalement personnel que je ne partage pas. Si tu souhaites argumenter ce que tu avances, pourquoi pas, sinon la valeur de ce que tu avances est faible. J'ai essayé dans ce tuto d'expliquer pourquoi je faisais ces choix, si ces explications ne sont pas suffisantes je peux compléter et répondre à toutes tes questions. Pourquoi djbdns n'est pas complexe. 1- Son fichier de conf est hyper simple. Chaque enregistrement sur une ligne, la syntaxe est limpide. Il existe même des commandes incluses pour ajouter des enregistrements sans faire d'erreur. 2- Le service est supervisé toutes les secondes, s'il tombe il est relancé automatiquement Pourquoi djbdns est intuitif ? 1- Car la plupart des personnes qui connaissent le DNS ont uniquement appris avec bind. Et ont ainsi pris de très mauvais réflexes (cache et domaine confondus, transferts de zones complexes et dangereux) alors que justement, djbdns offre une vision très simple pour les personnes n'ayant pas d'a priori (fichier de zone simplifié, séparation des notions de cache et domaine, transferts de zone simples par sftp ou rsync) Bref, quand on en comprend la portée et qu'on fait abstraction des mauvais réflexes acquis avec bind, djbdns est un excellent et simplissime outil. Citation J'ai du mal à saisir pourquoi un enregistrement A est symbolisé par un plus (même le @ est limite pour le MX, dans la mesure ou @ n'est absolument pas un symbole pour les emails à l'origine, et n'est toujours pas exclusivement utilisé pour les emails, loin s'en faut). C'est là ou djbdns est justement très fort ! Au lieu de faire simplement des enregistrements un par un, il gère différents enregistrements en un seul. Par exemple pour faire un enregistrement NS sous bind, il te faut effectivement un NS, et un A. Sous djb, tu peux simplement avec un enregistrement . faire à la fois le SOA, NS et A ! Et cela pour beaucoup d'autres aussi, par exemple le = te fait le A et le PTR. Une grande avancée pour la science ! Citation De plus parler des failles de sécurité de BIND est, je l'espère, du second degré, du moins depuis BIND9 Je t'invite à lire ceci: les failles DNS La faille découverte par Dan Kaminski en 2008 a touché une bonne partie des serveurs dns du monde entier, notamment sous bind. Aucun sous djb n'a été touché puisque le fonctionnement de base de djb prenait en compte ce genre de faille dans la conception. Il y a un concours sur djbdns sur qui trouvera une faille de sécurité distante. Ce concours n'as toujours pas de vainqueur après quelques années d'existence... Citation En conclusion, j'ai du mal à sasir l'utilité de ce tuto qui se veut pour le débutants, là où il prône un logiciel moins intuitif, moins agréable (compiler, etc), dangereux pour l'utilisateur linux de base (l'ajout des dépôts quand on n'y connaît rien peut être catastrophique), et SURTOUT moins bien documente (tant dans le homepages respectives que sur la toile) Ce tuto comme c'est indiqué n'est pass pour débutant mais intermédiaire. Le reste est un avis personnel que je ne discuterai pas. Pour les différences de sécurité entre bind et djb, voici un article: sécurité bind vs djbdns Et les différentes failles recensées sur chacun d'entre eux (entrez les mots clef bind et djbdns) Failes de sécurité bind: 13 : 0 :djbdns Le score est sans appel... Essaye djbdns, tu verras qu'après une prise en main certes difficile (mais ce tuto la rend facile) l'usage est extrèmement simple et rapide. Eric Lalitte Enseignant en systèmes et réseaux et Directeur d'IN'TECH INFO
|
||
|
daqwpm
|
# Posté le 06/12/2009 à 18:45:44 | ||
|
rhalalalalala
Ville : Strasbourg |
C'est drôle. La moitié de tes arguments sont faux, et l'autre prouve que tu ne m'as pas lu. Faisons donc un effort de pédagogie Citation : elalitte Citation : daqwpm *Citation djbdns outre un nom imprononçable est également complexe et anti-intuitif.Je pense que ceci est un avis totalement personnel que je ne partage pas. Si tu souhaites argumenter ce que tu avances, pourquoi pas, sinon la valeur de ce que tu avances est faible. J'ai essayé dans ce tuto d'expliquer pourquoi je faisais ces choix, si ces explications ne sont pas suffisantes je peux compléter et répondre à toutes tes questions. En effet,à ce point là, je n'avais encore rien démontré. Je le fait quelques lignes plus bas, notamment avec l'exemple du @ Cela est une sorte d'"introduction", enfin une exorde plus exactement. En français, on annonce ce qu'on s'apprête à dire, on le dit, puis on annonce qu'on l'a dit. Je ne faisais que respecter cette règle de langue. Tu remarqueras que j'ai adopté le même principe ici : j'ai dit que j'allais tenter de démonter tes arguments, je suis en train de la faire, puis je terminerais par dire que je pense que c'est fait. Ce petit point de forme reglé, attaquons le fond, ma foi bien plus intéressant. Citation : elalitte 1- Son fichier de conf est hyper simple. Chaque enregistrement sur une ligne, la syntaxe est limpide. Il existe même des commandes incluses pour ajouter des enregistrements sans faire d'erreur. Ton sens commun semble être parti faire un tour. Tu trouves plus simple de symboliser les LETRES NS par un point, plutot que de les écrire telle quelle ? Personnellement, je comprends mieux Examen Cytobactériologie des Urines que ECBU, Douanes et droits indirects que DDI, etc... Le summum étant le Z pour SOA. Déjà que l'intermédiaire moyen comprend pas toujours très bien ce qu'est un SOA, alors en plus le symboliser par un Z (un SOA voir un S eût sans doute été trop simple pour un grand penseur comme toi) Et si bind semble intuitif, c'est parce qu'il utilise une syntaxe simple : pour dire A, il utilise la lettre A, pour dire CNAME, il utilise les lettre CNAME, pas un ersatz pseudo simplificateur (type Z pour SOA). Citation : elalitte C'est là ou djbdns est justement très fort ! Au lieu de faire simplement des enregistrements un par un, il gère différents enregistrements en un seul. Par exemple pour faire un enregistrement NS sous bind, il te faut effectivement un NS, et un A. Sous djb, tu peux simplement avec un enregistrement . faire à la fois le SOA, NS et A ! Et cela pour beaucoup d'autres aussi, par exemple le = te fait le A et le PTR. Une grande avancée pour la science ! Je remarque que tu ne répond pas à mon argument sur les lettre, mais que tu le contournes par une pirouette : tu dis "oui, mais ça permet de". Ca permet sans doute d'écrire plus vite, mais en y perdant indéniablement en clarté. Je sais pas si tu codes (C, PHP, Perl, Bash). Si oui, tu devrais savoir que prendre dix minutes de plus pour avoir un code clair vaut mieux qu'avoir un code embrouillé. djbdns n'a pas intégré cette notion. Quant aux failles de sécurité,je n'entrerai pas dans le débat, déjà que le notre commence à verdir, et sera bientot muni d'une massue comme tout troll qui se respecte. En effet, djbdns n'a pas de faille de sécurité dans sa dernière version. En effet la faille de kaminsky aurait pu faire beaucoup de dégâts contre tous les serveur DNS sauf djbdns, et ceci à cause de failles dans la RFC DNS elle-même : les correctifs n'ont fait que rendre très improbable (et mathématiquement impossible sur une durée de vue humaine) l'exploitation d'une telle faille. Enfin (et ce sera là ma péroraison), l'autre problème majeur est que djbdns, par son absence de cache, outre est peu utilisable par une grosse boîte, mais SURTOUT ne respecte la RFC, que je t'invite à lire. Sur ce j'ai des exams à bosser, alors au revoir ! LoveLinux && MAKO Je vous laisse le choix dans la date. |
||
|
elalitte
|
# Posté le 06/12/2009 à 19:38:15 | ||
|
Avis : Très bon
Ville : Ivry-sur-seine |
Citation C'est drôle. La moitié de tes arguments sont faux, et l'autre prouve que tu ne m'as pas lu. Je trouve malheureux le ton arrogant et dédaigneux que tu peux employer  Je t'ai bien lu, et je pensais avoir compris ce que tu m'écrivais et y répondais point par point. Si me réponses sont à coté de ce que tu pensais vouloir exprimer, je m'en excuse et suis prêt à te répondre. Citation Quant aux failles de sécurité,je n'entrerai pas dans le débat Il n'y a aucun débat. J'ai pensé en te lisant que tu disais que bind9 était sécurisé et qu'il n'était pas question de pouvoir comparer djbdns et bind9 au niveau sécurité. Je t'ai fourni des liens qui montrent les innombrables failles qui ont touché bind9. Je t'ai aussi fourni un lien qui montre que djbdns n'a été victime d'aucune faille de sécurité distante à ce jour. Je pense que les éléments sont très clair là dessus. Libre à toi maintenant de penser le contraire. Citation Enfin (et ce sera là ma péroraison), l'autre problème majeur est que djbdns, par son absence de cache, outre est peu utilisable par une grosse boîte, mais SURTOUT ne respecte la RFC, que je t'invite à lire. Ecoute, je pense que tu parles de ce que tu ne connais ou ne maîtrise pas, une fois de plus malheureusement. djbdns est livré avec dnscache qui joue le rôle de cache. Toute l'intelligence de M.Berstein quand il a fait djb a été de comprendre que le cache et le service de domaine sont deux choses extrèmement différentes, alors que jusqu'à ce jour les serveurs dns les confondaient. C'est aussi une des raisons qui font que djbdns est bien sécurisé. Tu dis ensuite que djbdns ne respecte pas les RFC. Peux-tu en dire plus ? Pour terminer, je trouve profondément regrettable ton intervention. Je fournis un tutorial à la communauté en essayant de le faire du mieux que je peux et en argumentant mes choix. Tu ne sembles pas d'accord avec ceux-ci, ce que je conçois. Mais tu interviens de façon aggressive avec la plupart du temps des arguments douteux, voire faux. Plutôt que de casser du sucre sur le dos de ceux qui proposent, pourquoi ne pas utiliser cette énergie à produire toi-même des éléments qui aideront la communauté ? Eric Lalitte Enseignant en systèmes et réseaux et Directeur d'IN'TECH INFO
|
||
|
daqwpm
|
# Posté le 06/12/2009 à 22:39:57 | ||
|
rhalalalalala
Ville : Strasbourg |
|||
|
Coyote
|
# Posté le 07/12/2009 à 14:29:43 | ||
 
|
|||
|
daqwpm
|
# Posté le 07/12/2009 à 15:16:17 | ||
|
rhalalalalala
Ville : Strasbourg |
|||
|
Coyote
|
# Posté le 22/12/2009 à 04:11:30 | ||
|
|
|||
|
Kissifrot
|
# Posté le 04/05/2010 à 21:35:35 | ||
Ville : Lagny sur marne |
|||
|
elalitte
|
# Posté le 04/05/2010 à 23:05:39 | ||
|
Avis : Très bon
Ville : Ivry-sur-seine |
|||
|
Night / Sun
|
# Posté le 30/08/2010 à 10:48:37 | ||
|
bonjour, tuto intéressant que je n'ai pas lu  Utilité :
pour le point 3 je ne sais si cela est possible d'usiter les vues. LE NOM : DJBDNS signifie (je ne sais si cela a été dit) DNS de Daniel J. Bernstein. Ce dernier a écris notamment QMail qui il y a quelque temps était considérer par le MTA le plus sécurisé... Aujourd'hui Exim et Postfix n'ont rien a lui envier... Cet auteur a aussi développé les daemons tools qui peuvent être utiliser... pour démarrer des services de façons sécurisés... SECURITE : Il me semble pour moi qu'avant de parler de sécurité, il faudrait d'abord appliquer un modèle de sécurité sur ses propres machines... ex : il ne fait pas installer de compilateur sur un serveur Frontal... idée certes pas mauvaise du tout... Mais ne pensez vous pas que si quelqu'un est en train de compiler sur votre machine il n'est pas déjà trop tard ? Bref la sécurité bien qu'a la mode et jamais superflue, reste une philosophie de travail rude et exigeante. Pour clôre le débat, ce tutoriel a le mérite d'exister et d'apporter une vision de l'auteur qu'il souhaite faire partager... Néanmoins, un serveur DNS, et la pour accepter des requêtes d'autres serveur DNS et d'internautes. A cet image comme le SMTP ce n'est pas sécuriser... Je vous invite a lire un article du magazine MISC, traitant de l'ouverture d'un tunel VPN en réponse à une requête DNS... Pour finir les Logiciel de D.J Bernstein ont une licence particulière... |
||
|
elalitte
|
# Posté le 30/08/2010 à 11:33:50 | ||
|
Avis : Très bon
Ville : Ivry-sur-seine |
Salut Night/sun, Merci pour ces remarques très pertinentes ! Quelques remarques et réponses: - Le tuto ne traite pas spécifiquement de la partie cache, mais seulement de la gestion d'un domaine avec tinydns - le split horizon (gestion des vues) est géré avec tinydns en utilisant plusieurs interfaces réseau et plusieurs instances de tinydns (interfaces pouvant être virtuelles bien sûr) "Il me semble pour moi qu'avant de parler de sécurité, il faudrait d'abord appliquer un modèle de sécurité sur ses propres machines... ex : il ne fait pas installer de compilateur sur un serveur Frontal... idée certes pas mauvaise du tout... Mais ne pensez vous pas que si quelqu'un est en train de compiler sur votre machine il n'est pas déjà trop tard ?" Exact ! Comme tu l'indiques cependant, il faut tenir compte d'un modèle de sécurité. Ce qui implique de savoir ce qu'on protège, la valeur estimée, les menaces, les risques associés, etc. Et donc de savoir quelle sécurité mettre en place selon ce que l'on a à protéger, la sécurité 100% n'existant pas. Si j'ai besoin de sécurité top niveau, je mettrai en place un OpenBSD sans compilateur avec cross compilation, avec le minimum de services autorisés, aucun compte utilisateur autre, des services chrootés et à utilisateurs restreints avec perte de privilèges, etc. Par contre, Mme Michue et la plupart des zéros ont besoin de rendre des services, d'avoir un serveur autonome et administrable, et cela implique d'avoir des outils disponibles et configurables. Commencer par choisir DJBdns par rapport à Bind est un choix facile pour faire un grand pas vers la sécurité. Il convient donc, je te l'accorde, de faire la part des choses entre une machine personnelle, d'entreprise, et de bunker, et d'y associer la sécurité nécessaire. Concernant la mise en place de tunneling (et non de VPN si je me rappelle bien de l'article du dernier MISC, la différence ayant son poids) dans le protocole DNS, cela est inhérent à tout protocole non chiffré ou authentifié. Et cela ne touche pas de toute façon la configuration d'un serveur de domaine, à moins que ce ne soit toi le tunneler 
Eric Lalitte Enseignant en systèmes et réseaux et Directeur d'IN'TECH INFO
|
||
|
crof
|
# Posté le 03/10/2010 à 13:13:02 | ||
Rule #2 : Double Tap
|
Bonjour, Bon tuto, mais je bloque au niveau de la configuration du fichier data. Pourriez-vous détailler un peu plus chaque ligne du fichier data en indiquant ce que chaque ligne comprend. Effectivement, je ne comprends pas la ligne du SOA par exemple : Code : Console
Je comprends Z pour zone suivit du domaine. Je ne comprends pas la suite. J'ai peut-être pas compris un truc sur le DNS aussi. A la limite je vais expliquer ma config. Mon but est de diffuser mon serveur web Apache uniquement sur un réseau local, je n'ai donc pas besoin d'acheter de nom de domaine. Mon serveur Apache est sur une OpenSUSE11.3 installé sur Virtual Box (mais je suis capable de m'adapter par rapport à une Debian) et je veux donc mettre un serveur DNS sur cette OpenSUSE afin de pouvoir visualiser mes sites via mes autres PC sous Windows 7 via le nom de domaine. IP OpenSUSE : 192.168.1.153 IP Windows 7 : 192.168.1.186 Passerelle par défaut de mon réseau (Livebox) : 192.168.1.1 J'ai créé 2 sites pour le moment : ccnad4m1.local.tsrit et ccnad4m2.local.tsrit tous les deux basés sur l'@IP 192.168.1.153:80 Sur ma OpenSUSE j'arrive à bien afficher ces deux sites via leur nom de domaine. Depuis Windows, je peux afficher le site primaire (ccnad4m1.local.tsrit) par son @IP. Je peux afficher les deux sites via le DNS en modifiant le fichier hosts de Windows... Comment configurer djbdns pour afficher les deux sites via mon Windows sans modifier le fichier hosts de ce dernier (en vue de passer cette config sur un réseau comprenant bien plus de postes). Merci d'éclairer ma lanterne. PS : je n'ai pas trouvé de sujet sur ce tuto sur le forum, c'est pourquoi je pose ma question ici. Mais si vous préférez, je renouvellerai mon message sur ce dernier. Bonne journée Christophe |
||
|
talfi
|
# Posté le 10/07/2011 à 23:53:08 | ||
|
|
|||
|
elalitte
|
# Posté le 18/07/2011 à 10:11:52 | ||
|
Avis : Très bon
Ville : Ivry-sur-seine |
|||
|
shany972
|
# Posté le 26/08/2011 à 03:45:17 | ||
|
|
|||
|
elalitte
|
# Posté le 26/08/2011 à 09:55:41 | ||
|
Avis : Très bon
Ville : Ivry-sur-seine |
|||
|
shany972
|
# Posté le 26/08/2011 à 15:06:41 | ||
|
|
|||
|
shany972
|
# Posté le 29/08/2011 à 22:26:11 | ||
|
|
|||
|
elalitte
|
# Posté le 30/08/2011 à 11:48:12 | ||
|
Avis : Très bon
Ville : Ivry-sur-seine |
|||
|
x86
|
# Posté le 12/09/2011 à 22:53:00 | ||
|
|||
|
elalitte
|
# Posté le 13/09/2011 à 09:47:25 | ||
|
Avis : Très bon
Ville : Ivry-sur-seine |
|||
|
edouard saucisse
|
# Posté le 05/11/2011 à 03:26:23 | ||
|
Avis : Mitigé
|
Salut tout le monde ! désolé d'arriver après la guerre, mais pour apporter ma petite pierre à l'édifice, je suis assez d'accord avec daqwpm de manière générale... djbdns n'est pas aussi simple qu'il ne le devrait, "viole" quelques usages courants et quelques passages de la RFC jesaispluscombien, et contrairement a ce que tu prétendais en décembre 2009, il à déjà fait l'objet de failles de sécurité en... mars 2009 ! ( http://en.wikipedia.org/wiki/Djbdns ) ( j'ai assisté récemment a une conférence de Benjamin Bayart dont le sujet était justement les DNS, et au fil d'une discussion avec lui, il m'a confié tout le "bien" qu'il pensait de plusieurs serveurs DNS, dont djb... connaissant le bonhomme, j'aurais du mal a lui donner tort, d'autant que c’était assez bien argumenté. malheureusement, cette discussion ayant eu lieu en off ( non filmée par le responsable de la conférence donc :/ ) je ne saurais te retranscrire son propos avec autant de verbe que lui  )par ailleurs, si je ne nie pas que bind9 soit de base sujet à certaines failles, l'utilisation de clés TSIG ( pas franchement complexes a mettre en place quand on a fini de configurer bind9 ) et l'extension DNSSEC rendent la tâche bien plus complexe a un petit plaisantin qui voudrait manger du bind au petit déjeuner... J'ajouterais que si pour un serveur, quand tu veux gérer des vues, il te faut disposer d'autant d'interfaces réseau que de vues, ça finit par franchement compliquer les choses, notamment en entreprise ou cela implique de faire intervenir un technicien du constructeur payé à prix d'or pour faire ce que n'importe quel sysadmin est censé savoir faire en 3 minutes. et quid du support d'ipv6 par djbdns? si j'en crois cette page de wikipedia ( http://en.wikipedia.org/wiki/Compariso [...] rver_software ) ce n'est toujours pas au programme :/ et enfin - et pour finir - si notre compère t'as chargé un peu brusquement lors de ses premiers échanges avec toi, il faut remarquer que de ton coté, tu lui a réclamé une argumentation alors que pendant ton tuto, tu charges allégrement Bind9... sans apporter le moindre argument ni la plus petite explication. alors c'est sûr, voir quelques minitrolls bien velus dans un tuto, ca a de quoi exciter quelques personnes... Ceci dit, si je ne suis absolument pas convaincu par l'objet du tuto, je salue - que dis-je, j'applaudis! - tout de même le bel effort de partage que tu as fourni
|
||
|
bthzt
|
# Posté le 07/05/2012 à 20:54:24 | ||
|
|
|||
|
elalitte
|
# Posté le 08/05/2012 à 23:23:47 | ||
|
Avis : Très bon
Ville : Ivry-sur-seine |
|||
Trouvez une formation
Suggestions
Flux RSS News
Facebook
Google+