Pour ceux qui souhaitent, installer ou optimiser leur Résolveur Dns Unbound sur un poste de travail. Je vous propose ce petit tuto, qui peut être améliorer
- La quasi-totalité des activités sur l'Internet commencent par une requête DNS, la demande faite au résolveur DNS, le sont par les applications.
- Le résolveur DNS, après interrogation des serveurs DNS faisant autorité, va répondre aux demandes des applications.
- Un résolveur DNS local, est donc une application qui va se charger de gérer les demandes ou requêtes DNS des applications.
Installation en 10 étapes
1°) Télécharger Unbound
2°) Télécharger les serveurs racines
3°) Mise a jour par contab des serveurs racines
4°) Générer les clefs TLS
5°) Activer l'option Antipub dans Unbound
6°) Mise a jour par crontab du fichier Antipub
7°) Configuration réseau pour la prise en compte d'unbound
8°) Configuration du fichier conf d'Unbound
9°) Divers tests de fonctionnement d'Unbound
10°) Test après reboot
Conventions : # signifie root terminal ## signifie un commentaire sur la commande
*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
1°) Télécharger Unbound ## vous pouvez passer par votre gestionnaire d'application
Code : Tout sélectionner
#apt-get install unbound
2°) Télécharger les serveurs racines
Code : Tout sélectionner
#wget ftp://FTP.INTERNIC.NET/domain/named.cache -O /etc/unbound/root.hints
Code : Tout sélectionner
#crontab -e
b°) copier/coller la ligne ci-dessous dans cron
00 5 * * 1 wget ftp://ftp.internic.net/domain/named.cache" onclick="window.open(this.href);return false; -O /etc/unbound/root.hints && /etc/init.d/unbound restart
c°) enregistrer le fichier cron (crtl+o), fermer le fichier cron (crtl+x) 4°) Générer les clefs TLS
Code : Tout sélectionner
#unbound-control-setup
Code : Tout sélectionner
#wget -q -O- 'http://pgl.yoyo.org/adservers/serverlist.php?hostformat=unbound&showintro=0&mimetype=plaintext' > /etc/unbound/unbound_add_servers
Code : Tout sélectionner
#chown unbound:unbound /etc/unbound/unbound_ad_servers
6°) Mise a jour par crontab du fichier Antipub nommé : unbound_add_servers
Code : Tout sélectionner
#crontab -e
59 4 * * 1 wget -q -O- 'http://pgl.yoyo.org/adservers/serverlis ... =plaintext' > /etc/unbound/unbound_add_servers
7°) Configuration réseau pour la prise en compte d'unbound
- dans votre gestionnaire de réseau - onglet Ipv4 et Ipv6 - Désactivez Dnsmasq (outil DNS par défaut du gestionnaire de réseau)
Code : Tout sélectionner
# sed -i 's/dns=dnsmasq/#dns=dnsmasq/g' /etc/NetworkManager/NetworkManager.conf
Code : Tout sélectionner
#/etc/init.d/network-manager restart
-Désactiver le service unbound le temps de configurer le fichier unbound.conf
Code : Tout sélectionner
#/etc/init.d/unbound stop
Code : Tout sélectionner
#gedit /etc/unbound/unbound.conf
[/size]
Ma configuration commentée est dans le lien ci-dessous (4 options prises en compte dans ma configuration)
1°) qname-minimisation = anomyniser les requètes dns ; 2°) fichier antipub = bloque le maximum de pub, spam...
3°) dnssec = sécurité des requètes dns ; 4°) divers options relatifs à une certaine anonymisation
http://www.global-informatique-securite ... bound.html
Copier/coller ## vous pouvez adapter selon votre configuration
- Changer les droits du fichier log d'unbound
Code : Tout sélectionner
#cd /var/log/
Code : Tout sélectionner
#chmod 777 unbound.log
- Si le fichier unbound.log n'existe pas (c'est mon cas) le créer
Code : Tout sélectionner
#touch /var/log/unbound.log
Code : Tout sélectionner
#/etc/init.d/dns-clean restart
Code : Tout sélectionner
#/etc/init.d/unbound restart
-Pour vérifier si le fichier unbound.conf comporte des erreurs
Code : Tout sélectionner
#unbound-checkconf /etc/unbound/unbound.conf
Code : Tout sélectionner
#dig +nodnssec +short TXT qnamemintest.internet.nl
Code : Tout sélectionner
#dig com. SOA +dnssec
## il faut la présence du drapeau 'ad' - Test TLS (Réponse : (secure) devra apparaitre)
Code : Tout sélectionner
#unbound-host com. -f /var/lib/unbound/root.key -v
Code : Tout sélectionner
#unbound-host dnssec.cz -f /var/lib/unbound/root.key -v
Code : Tout sélectionner
#unbound-host dnssec.cz -C /etc/unbound/unbound.conf -v
http://www.dnssec.cz" onclick="window.open(this.href);return false; ## sur la partie droite, si vous voyez une clé verte, c'est ok
https://en.internet.nl/" onclick="window.open(this.href);return false; ## cliquez “Test my internet connection” ## Réponse : DNSSEC validation
10°) Test après reboot
Code : Tout sélectionner
#nmcli dev show | grep DNS
Code : Tout sélectionner
#lsof -i :53
Code : Tout sélectionner
#netstat -laputen | grep unbound
Code : Tout sélectionner
#unbound-control stats
+ d'infos pour une optimisation +