J'avais aussi pris en compte ces conseils que voici :
En mettant en place ce serveur, les requêtes DNS de résolution de noms de domaine se feront sur ta machine plutôt que sur une machine de ton FAI susceptible de mentir sur la non-existence d'un site, ou sur sa localisation (cf conflit Free vs Youtube).
Avec un peu plus de configuration tu pourras profiter de DNSSEC qui établit une chaîne de confiance entre la racine DNS et le site consulté.
La France et ses opérateurs est largement dans le déploiement de cette technologie qui existe depuis plus de 10 ans.
En mettant en place ce serveur, les requêtes DNS de résolution de noms de domaine se feront sur ta machine plutôt que sur une machine de ton FAI susceptible de mentir sur la non-existence d'un site, ou sur sa localisation (cf conflit Free vs Youtube).
Avec un peu plus de configuration tu pourras profiter de DNSSEC qui établit une chaîne de confiance entre la racine DNS et le site consulté.
La France et ses opérateurs est largement dans le déploiement de cette technologie qui existe depuis plus de 10 ans.
Au final :
- La navigation sera plus rapide (la condition sine qua non pour qu'un site soit consulté est que la requête DNS soit satisfaite au préalable),
- Tu accéderas à des sites bloqués par décision de justice/censure dans ton pays (thepiratebay, t411, sci-hub, etc.),
- Tu seras protégé des attaques par empoisonnement du cache DNS.
Beaucoup d'informations; la citation de benjani est un résumé; mais tu peux déjà consulter ces liens :
Conf de Stéphane Bortzmeyer sur le DNS
https://www.youtube.com/watch?v=QHVK666TFUIDNSSEC
https://fr.wikipedia.org/wiki/Domain_Name_System_Security_ExtensionsLe reste est essentiellement de la recherche que tu dois faire de ton coté
Pour le problème présent tu peux d'ores et déjà suivre ce tuto:
https://wiki.debian-fr.xyz/Utiliser_Unbound_avec_DNSSEC... en s'aidant fortement de la documentation d'unbound :
https://nlnetlabs.nl/documentation/unbound/unbound.conf/Si ta configuration d'unbound est mauvaise, le serveur ne démarrera pas. Il existe un outil installé avec unbound pour vérifier cela :
$ unbound-checkconf
N'oublie pas que le log doit être accessible par le serveur (c'est un point sur lequel j'avais buté) :
sudo mkdir /var/log/unbound
touch /var/log/unbound.log
chown unbound:unbound /var/log/unbound.log
Dans le tuto, l'installation de dnssec-trigger configure automatiquement dnssec.
Il apporte de plus un service qui permet de vérifier l'état du serveur en temps réel (c'est expliqué).
La vérification de la config DNSSEC se fait ici:
https://www.icann.org/resources/pages/dns-resolvers-updating-latest-trust-anchor-2018-06-27-frhttps://dnssec.vs.uni-due.de/Avec cela je pense que tu devrais réussir à te débrouiller; bon courage !
IRC
Newbie Connect
Liens
Partenaires
Réglement
Goodies
L'incubateur
L'équipe
Hall Of Fame
