Serveur DNS


  • administrators

    Il est urgent de reprendre la main sur nos zones DNS.

    Pour l’instant nous utilisons les serveurs de caps_lock, mais nous devons à chaque modification lui demander de la faire. Ça peut être long et comme on travaille méthode « à l’arrache », c’est frustrant.

    J’ai donc créé sur la boulangerie une jail dns. Elle est consacré au logiciel bind. Elle va gérer mes zones et les zones EP.

    J’ai crée un utilisateur admin qui a le même mot de passe que celui de l’infor (exo-*).
    Le port ssh est le 2226.

    J’ai besoin des clefs ssh des possibles intervenant.

    💡 On pourrait les mettre dans le dépôt infra ce qui permettrait de les avoir sous la main pour ce genre de chose.

    ⚠ named n’est pas encore démarré au moment où j’écris ces lignes. J’attends vos clefs ssh.

    ⚠ Il va de soit que seules les zones EP sont administrable par d’autres que moi sauf demande expresse de ma part.

    Nous passeront les zones en DNSSEC des que la base tournera, en commençant par une de mes zones peut utilisée.

    Mise à jour le 12/09/2018

    La jail fonctionne, les redirections pf semblent elles aussi fonctionner.
    Les outils DNSSEC ne sont pas encore installé.

    J’ai mis en place un système de ChangeLog rempli à la déconnexion de l’utilisateur admin. Il n’est pas obligatoire de le remplir, mais c’est mieux, même si c’est pour dire : “pseudo -> aucune modif juste vérification”

    Le script qui fait ça, je l’ai piqué à @vincib.

    Les fichiers de zone (nornalement les seuls à avoir à être modifiés) se trouvent dans /usr/local/etc/namedb/working.

    • On oublie pas de changer le serial dans le SOA record YYYY-MM-DDxx
    • on fait une vérification de la zone named-checkzone exodus-privacy.eu.org /usr/local/etc/namedb/working/db.exodus-privacy.eu.org
    • on fait une vérification des fichiers de conf named-checkconf -z /usr/local/etc/namedb/named.conf
    • on recharge la zone rndc reload exodus-privacy.eu.org


  • Merci beaucoup @Lovis_IX !
    Je viens de tenter de me connecter pour voir, ça marche bien. J’ai également publié le fichier de zone de notre domaine sur le git Technique (chose que j’aurais du faire plus tôt).


  • administrators

    @codimp
    Veux-tu que je fasse un tour pour vérifier que tout est OK ?

    Ma config est un peu spéciale parce que mon DNS fait autorité caché. En fait ce sont les DNS de frmug qui sont slave, mais qui encaissent les requêtes pour moi. 🙂