Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Échanger des DNS secondaires entre serveurs amis/CHATONS

nicolas

Je suis tombé toute-à-l’heure sur ce post du forum CHATONS :
Qui héberge les DNS des chatons?

Ça m’a rappelé qu’on avait parlé avec Aymeric et aussi @etienne je crois d’entre héberger des serveurs DNS secondaires. Normalement c’est vraiment assez simple. Comme expliqué dans la documentation de Bind, il faut juste ajouter un bloc dans le fichier de configuration de bind pour le serveur secondaire :

// We are the secondary server for example.com
zone "example.com" {
  // this is a secondary server for the zone
  type secondary;
  // the file statement here allows the secondary to save
  // each zone transfer so that in the event of a program restart
  // the zone can be loaded immediately and the server can start
  // to respond to queries without waiting for a zone transfer
  file "example.com.saved";
  // IP address of example.com primary server
  primaries { 192.168.254.2; };
};

Et ensuite autoriser ce serveur à récupérer la zone au niveau du primary dans allow-transfer :

// We are the primary server for example.com
zone "example.com" {
  // this is the primary name server for the zone
  type primary;
  file "example.com";
  // this is the default
  notify yes;
  // IP addresses of secondary servers allowed to
  // transfer example.com from this server
  allow-transfer {
    192.168.4.14;
    192.168.5.53;
  };
};

Le seul truc auquel il va falloir faire attention c’est la clé TSIG, j’ai pas bien compris exactement comment elle est utilisée. Et aussi ça serait pas mal que Configurer DNSSEC sur ns1.club1.fr #7 soit mis en place, même si en vrai je fais pas plus confiance aux serveurs secondary qu’on a actuellement (he.net) qu’à des serveurs amis/CHATONS.

nicolas

Un article de Bortzmeyer par rapport à TSIG qui est pas mal. Notamment le fait qu’il faut utiliser juste la clé TSIG et pas les IPs dans la directive allow-transfer du primary, et bien faire une clé par paire de machines : https://www.bortzmeyer.org/8945.html

nicolas

Et la section du manuel de Bind qui est en fait très bien : https://bind9.readthedocs.io/en/v9.18.19/chapter7.html#tsig

nicolas

Ok je suis maintenant bien à l’aise avec les clés TSIG et complètement prêt à setup un echange de zones secondaires avec qui veut ! Au passage j’ai nettoyé la config (qui était en fait incorrecte) pour effectivement n’autoriser les transferts qu’avec la clé (et non pas les IPs), c’est plus sécurisé et plus robuste car ça tolère un changement d’infra au niveau des serveurs secondaires. D’après les logs ça fonctionne correctement.

nicolas

Pour résumer le processus, avec TSIG et pour BIND, l’un des administrateurs des deux serveurs doit générer une clé TSIG avec les commandes suivantes, en tant que root (en remplaçant EXAMPLE.ORG par le nom de domaine du serveur en question) :

domain=EXAMPLE.ORG
tsig-keygen club1.fr-$domain > /etc/bind/club1.fr-$domain.key
chmod 640 /etc/bind/club1.fr-$domain.key
echo "include \"/etc/bind/club1.fr-$domain.key\";" >> /etc/bind/named.conf.local

Il faut ensuite envoyer une copie de ce fichier à l’administrateur de l’autre serveur, qui va devoir l’inclure dans la configuration de BIND et modifier les permissions de la même façon.

Et finalement, chaque administrateur doit modifier le fichier /etc/bind/named.conf.local. Si il s’agit d’un primary, ajouter la clé à la directive allow-transfer de la zone en question :

--- a/bind/named.conf.local
+++ b/bind/named.conf.local
@@ -19,6 +19,7 @@ zone "club1.fr" {
        dnssec-policy default;
        allow-transfer {
                key "club1.fr-he.net";
+               key "club1.fr-EXAMPLE.ORG";
        };
 };

Si il s’agit d’un secondary, ajouter un bloc de ce style :

zone "club1.fr" {
	type secondary;
	file "db.club1.fr.saved";
	primaries { 31.39.157.76 key "club1.fr-EXAMPLE.ORG"; };
};

nicolas

NOTE: Attention, avec BIND, le NOTIFY n’est envoyé par défaut qu’aux serveurs présents dans les champs NS de la zone en question. Pour tester, il est pratique d’ajouter l’adresse IP du serveur qu’on veut notifier avec l’option also-notify. Ex:

--- a/bind/named.conf.local
+++ b/bind/named.conf.local
@@ -25,6 +25,9 @@ zone "club1.fr" {
                key "club1.fr-ricorambo.su";
                key "club1.fr-jeanpierre.moe";
        };
+       also-notify {
+               82.65.174.145;
+       };
 };

nicolas

Les deux derniers serveurs secondaires de he.net ont été remplacés par des serveurs amis en ce qui concerne club1.fr.