-
éléments de sécurité système (named.conf.options) :
controls {
inet 127.0.0.1 allow {localhost;} keys {dnskey;} ;
};
key dnskey {
algorithm HMAC-MD5;
secret dfqsfFFcYyyyU999xcsdqs==;
};
- éléments de sécurité serveur DNS (named.conf.options) :
options {
...
allow-query { any; };
allow-query-cache { trusted; };
allow-recursion { trusted; };
allow-transfer{ none; };
version "mine";
...
};
acl "trusted" {
172.26.0.0/16;
2001:660:4401:6000::0/56;
...
};
- les serveurs racines sont référencés (named.conf.default-zones) :
zone "." {
type hint;
file "root.cache";
};
- le DNS est maître pour certaines zones (named.conf.local) :
zone "plil.info" {
type primary; // version politiquement correcte de master
file "/etc/bind/zones/plil.info/plil-dir.zone";
};
zone "145.26.172.in-addr.arpa" {
type primary; // version politiquement correcte de master
file "/etc/bind/zones/plil.info/plil-schoolrooms-rev-IPv4.zone";
};
zone "144-159.204.101.195.in-addr.arpa" {
type primary; // version politiquement correcte de master
file "/etc/bind/zones/plil.fr/plil-fiber-rev-IPv4.zone";
};
zone "8.4.0.6.1.0.4.4.0.6.6.0.1.0.0.2.ip6.arpa" {
type primary; // version politiquement correcte de master
file "/etc/bind/zones/plil.info/plil-schoolserv-rev-IPv6.zone";
};
- éléments de sécurité pour les zones primaires (named.conf.local) :
zone "plil.info" {
type primary;
file "/etc/bind/zones/plil.info/plil-dir.zone";
allow-transfer{secondaries;}; // filtrage des secondaires
also-notify{hiddensecondaries;}; // pour les secondaires vicieux
notify yes; // notification des secondaires
inline-signing yes; // DNSSEC automatique
key-directory "/etc/bind/keys"; // répertoire des clefs, attention aux droits
dnssec-policy "dnssecpolicy"; // politique pour les clefs de chiffrement
};
dnssec-policy "dnssecpolicy" {
keys {
ksk key-directory lifetime unlimited algorithm 13;
zsk key-directory lifetime unlimited algorithm 13;
};
nsec3param;
};
acl "secondaries" {
195.220.223.1; // il était une fois Poitiers
...
};
masters "hiddensecondaries" {
217.70.177.40; // ns6.gandi.net caméléon IPv4
2001:4b98:d:1::40; // ns6.gandi.net caméléon IPv6
};
- le DNS est secondaire pour d’autres zones (named.conf.local) :
zone "rex.eudil.fr"{
type secondary; // version politiquement correcte de slave
file "/etc/bind/backup/rex.eudil.fr";
primaries{ 2001:660:4401:60b0:216:3eff:feb0:b140; };
};