Traduction(s): English

(!) ?Discussion

Présentation

La mise en place d'un serveur DNS sur un réseau permet de remplacer les adresses IP des machines par un nom. Ainsi, il est même possible d'associer plusieurs noms à la même machine pour mettre en évidence les différents services possibles. Du coup, www.example.com et pop.example.com, peuvent pointer sur le serveur principal où sont présents le serveur de mail et l'intranet de l'entreprise dont le domaine serait example.com. C'est tout de même plus facile que de se rappeler que ces deux services tournent sur la machine dont l'adresse IP est 192.168.0.1.

Imaginez maintenant, que l'administrateur de notre entreprise décide pour une raison ou une autre de déplacer le serveur de mail sur la machine 192.168.0.11. Il n'y a rien à faire du tout sauf modifier le fichier de configuration du serveur DNS. Il vous reste toujours la possibilité d'aller modifier le fichier hosts de tous les utilisateurs, mais cela risque de prendre du temps et d'embêter certaines personnes.

Définitions

Disposition réseau

Nous disposons d'un accès Internet via une xxxbox (192.168.1.1), de deux serveurs DNS fournis par notre FAI (80.10.249.2, 80.10.246.129). En fait, ces deux derniers ne seront jamais mentionnés dans la configuration car la xxxbox va se charger de faire la résolution de noms si elle ne connaît pas l'adresse de destination des paquets. Par conséquent, je considère la xxxbox comme le serveur primaire hors de notre domaine. Le serveur "sid" (192.168.1.10) est connecté à la xxxbox via sa première carte réseau. Il est aussi connecté au lan (192.168.0.0/24) via sa seconde interface réseau (192.168.0.1). C'est sur celui-ci que nous allons installer le serveur DNS primaire pour notre domaine example.com (RFC 2606) Tous les ordinateurs du LAN se voient attribuer une adresse IP automatiquement via le service DHCP. Ce dernier fournira aussi l'adresse du serveur DNS primaire situé sur notre domaine, et mettra à jour les noms d'hôtes pour la zone example.com auxquels il aura attribué une adresse IP.

Gestion du serveur

Installation

On va utiliser le paquet bind9 pour faire tout ça.

# apt-get install bind9 

et puis si vous voulez installer en plus la documentation, (très utile) :

# apt-get install bind9-doc

Configuration

Après l'installation, on va voir un peu du coté des fichiers de configuration. Ils sont placés dans le répertoire /etc/bind/

Signature TSIG

Cette signature a pour but d'authentifier les transactions avec BIND. Ainsi, le serveur DHCP ne pourra mettre à jour le domaine example.com que s'il dispose de cette clef. On recopie une clef existante :

# cd /etc/bind/
# cat rndc.key
key "rndc-key" {
        algorithm hmac-md5;
        secret "QJc08cnP1xkoF4a/eSZZbw==";
};

# cp rndc.key ns-example-com_rndc-key

On génère une nouvelle clef avec les options suivantes :

dnssec-keygen -a HMAC-MD5 -b 512 -n USER ns-example-com_rndc-key
Kns-example-com_rndc-key.+157+53334

Le footprint associé à la clef est 53334. On obtient alors deux fichiers, l'un avec une extension key et l'autre avec une extension private. On substitue la clef présente dans le fichier ns-example-com_rndc-key par celle présente dans un de ces derniers.

# cat Kns-example-com_rndc-key.+157+53334.private
Private-key-format: v1.2
Algorithm: 157 (HMAC_MD5)
Key: LZ5m+L/HAmtc9rs9OU2RGstsg+Ud0TMXOT+C4rK7+YNUo3vNxKx/197o2Z80t6gA34AEaAf3F+hEodV4K+SWvA==
Bits: AAA=

# cat ns-example-com_rndc-key
key "ns-example-com_rndc-key" {
        algorithm hmac-md5;
        secret "LZ5m+L/HAmtc9rs9OU2RGstsg+Ud0TMXOT+C4rK7+YNUo3vNxKx/197o2Z80t6gA34AEaAf3F+hEodV4K+SWvA==";
};

Le fichier ns-example-com_rndc-key ne doit pas être world-readable, afin de garantir la sécurité. Celui-ci sera inséré dans la configuration de bind via une directive include car la configuration de bind est quant à elle world-readable. On pensera aussi à supprimer les fichiers key et private précédemment générés.

Fichier named.conf

Ce fichier est le fichier de configuration principal du serveur DNS.

// Gérer les acls
acl internals { 127.0.0.0/8; 192.168.0.0/24; };

// Charger les options
include "/etc/bind/named.conf.options";

// Déclaration de la clef TSIG utilisée pour la mise à jour dynamique
include "/etc/bind/ns-example-com_rndc-key";

// Configurer le canal de communication pour administrer BIND9 avec rndc
// Par défaut, la clef est située dans le fichier rndc.key et utilisée par
// rndc et bind9 sur localhost
controls {
        inet 127.0.0.1 port 953 allow { 127.0.0.1; };
};

// prime the server with knowledge of the root servers
zone "." {
        type hint;
        file "/etc/bind/db.root";
};

// be authoritative for the localhost forward and reverse zones, and for
// broadcast zones as per RFC 1912
zone "localhost" {
        type master;
        file "/etc/bind/db.local";
};
zone "127.in-addr.arpa" {
        type master;
        file "/etc/bind/db.127";
};
zone "0.in-addr.arpa" {
        type master;
        file "/etc/bind/db.0";
};
zone "255.in-addr.arpa" {
        type master;
        file "/etc/bind/db.255";
};

include "/etc/bind/named.conf.local";

Fichier named.conf.options

Ce fichier contient l'ensemble des options de configuration du serveur DNS.

options {
        directory "/var/cache/bind";

        // Port d'échange entre les serveurs DNS
        query-source address * port *;

        // Transmettre les requêtes à 192.168.1.1 si ce serveur ne sait pas résoudre ces adresses.
        // On pourrait aussi bien renseigner les serveurs DNS du FAI plutôt que de renseigner
        // l'adresse IP du routeur (xxxbox)
        forward only;
        forwarders { 192.168.1.1; };

        auth-nxdomain no;    # conform to RFC1035

        // Ecouter sur les interfaces locales uniquement (IPV4)
        listen-on-v6 { none; };
        listen-on { 127.0.0.1; 192.168.0.1; };

        // Ne pas transférer les informations de zones aux DNS secondaires
        allow-transfer { none; };

        // Accepter les requêtes pour le réseau interne uniquement
        allow-query { internals; };

        // Autoriser les requêtes récursives pour les hôtes locaux
        allow-recursion { internals; };

        // Ne pas rendre publique la version de BIND
        version none;
};

Le port associé à l'option query-source ne doit en aucun cas être figé car il fragilise les transactions DNS dans le cas d'un résolveur.

M. Rash a écrit un article intéressant à propos de cela et comment forcer le port source de manière aléatoire par le biais d'iptables :Mitigating DNS Cache Poisoning Attacks with iptables

Afin de diminuer la temporisation de timeout pour les connexions UDP, et ainsi mettre en évidence la randomization qui par défaut est de 30s par tuple, il suffit de mettre à jour le paramètre net.netfilter.nf_conntrack_udp_timeout

# sysctl -w net.netfilter.nf_conntrack_udp_timeout=10

pour obtenir un timeout à 10s.

Fichier named.conf.local

Ce fichier contient la configuration local du serveur DNS, on y déclare les zones associées au domaine.

// Gérer les fichiers de logs
include "/etc/bind/named.conf.log";

// Gestion du domaine example.com
// ------------------------------
//  - Le serveur est défini comme maître sur ce domaine
//  - Il n'y a aucun forwarder pour ce domaine car nous avons la main mise dessus.
//    Pour tous les autres domaines, nous utiliserons le forwarder mentionné dans *named.conf.options*
//  - Les entrees sur le domaine peuvent être ajoutées dynamiquement avec le clef ns-example-com_rndc-key
zone "example.com" {
        type master;
        file "/var/cache/bind/db.example.com";
        forwarders {};
        allow-update { key ns-example-com_rndc-key; };
};
zone "0.168.192.in-addr.arpa" {
        type master;
        file "/var/cache/bind/db.example.com.inv";
        forwarders {};
        allow-update { key ns-example-com_rndc-key; };
};

// Consider adding the 1918 zones here, if they are not used in your
// organization
include "/etc/bind/zones.rfc1918";

Fichier named.conf.log

logging {
        channel update_debug {
                file "/var/log/update_debug.log" versions 3 size 100k;
                severity debug;
                print-severity  yes;
                print-time      yes;
        };
        channel security_info {
                file "/var/log/security_info.log" versions 1 size 100k;
                severity info;
                print-severity  yes;
                print-time      yes;
        };
        channel bind_log {
                file "/var/log/bind.log" versions 3 size 1m;
                severity info;
                print-category  yes;
                print-severity  yes;
                print-time      yes;
        };

        category default { bind_log; };
        category lame-servers { null; };
        category update { update_debug; };
        category update-security { update_debug; };
        category security { security_info; };
};

On définit ici les différentes méthodes de log pour les différentes catégories. La première catégorie est comme son nom l'indique la catégorie par défaut qui est habituellement affectée au syslog. Toute catégorie non mentionnée, est assimilée à la catégorie default. Pour obtenir une liste des différentes catégories, consulterle manuel de référence de l'administrateur pour bind9. Pour ce qui est des lame-servers, on ignore tous les logs qui leur sont associés.

Les Ressources Records (RR)

Un DNS est constitué de plusieurs enregistrements, les RR ou Ressources Records, définissant les diverses informations relatives au domaine. Le premier enregistrement est consacré à la résolution de noms, dans notre cas, il s'agit du fichier db.example.com. Le second sera quant à lui en rapport avec la résolution de noms inverses ; il s'agit du fichier db.example.com.inv.

Les fichiers

$TTL    3600
@       IN      SOA     sid.example.com. root.example.com. (
                   2007010401           ; Serial
                         3600           ; Refresh [1h]
                          600           ; Retry   [10m]
                        86400           ; Expire  [1d]
                          600 )         ; Negative Cache TTL [1h]
;
@       IN      NS      sid.example.com.
@       IN      MX      10 sid.example.com.

sid     IN      A       192.168.0.1
etch    IN      A       192.168.0.2

pop     IN      CNAME   sid
www     IN      CNAME   sid
mail    IN      CNAME   sid

@ IN SOA        sid.example.com. root.example.com. (
                   2007010401           ; Serial
                         3600           ; Refresh [1h]
                          600           ; Retry   [10m]
                        86400           ; Expire  [1d]
                          600 )         ; Negative Cache TTL [1h]
;
@       IN      NS      sid.example.com.

1       IN      PTR     sid.example.com.
2       IN      PTR     etch.example.com.

Quelques explications :

$TTL : (Time To Live) exprime la duree (en secondes) de validité, par défaut, des informations que contiennent les RRs. Une fois ce délai expiré, il est nécessaire de vérifier à nouveau les données. Les différents types :

Les classes : IN determine l'association a la classe Internet. D'autres classes sont disponibles (CH et HS). Pour de plus amples informations vous pouvez consulter laRFC 1035

Fichier /etc/resolv.conf

search example.com

Il est pas des plus compliqué celui-la !

Chroot de bind

Par défaut, la configuration de bind emploie l'utilisateur bind pour exécuter le démon named. Ainsi, on retrouve cette option dans /etc/default/bind9:

OPTIONS="-u bind"

qui est pris en compte lors du lancement du service bind9. Voici un extrait du fichier /etc/init.d/bind9 (Sauf pour Jessie et suivante qui utilise systemd):

test -f /etc/default/bind9 && . /etc/default/bind9
...
if start-stop-daemon --start --quiet --exec /usr/sbin/named \
                 --pidfile /var/run/bind/run/named.pid -- $OPTIONS;

C'est déjà une bonne chose. Mais à cela, il faut ajouter l'utilisation d'une racine autre que / pour emprisonner le démon named dans sa prison. Il s'agit tout simplement d'employer l'option-ten précisant le répertoire de chroot. La variable OPTIONS dans le fichier /etc/default/bind9 devient :

OPTIONS="-u bind -t /var/lib/named"

Pour Jessie (et suivant), il faut éditer le fichier /etc/systemd/system/multi-user.target.wants/bind9.service :

[Unit]
Description=BIND Domain Name Server
Documentation=man:named(8)
After=network.target

[Service]
ExecStart=/usr/sbin/named -f -u bind -t /var/lib/named
ExecReload=/usr/sbin/rndc reload
ExecStop=/usr/sbin/rndc stop

[Install]
WantedBy=multi-user.target

Maintenant il faut créer l'arborescence dans le chroot.

/var/lib/named/
 |
 |__ /etc
 |__ /dev
 |__ /var
      |__ /cache
      |    |__ /bind
      |
      |__ /log

# mkdir -p /var/lib/named/etc
# mkdir /var/lib/named/dev
# mkdir -p /var/lib/named/var/cache/bind
# mkdir /var/lib/named/var/log

On déplace l'ancien répertoire de travail de bind dans le prison, et l'on met en place un lien symbolique /etc/bind vers ce même répertoire pour permettre au processus rndc de retrouver ces petits puisqu'il va utiliser le fichier rndc.key par défaut pour s'authentifier sur le channel d'administration port 953.

# mv /etc/bind /var/lib/named/etc
# ln -s /var/lib/named/etc/bind /etc/bind

On ajoute les périphériques null et random :

# mknod /var/lib/named/dev/null c 1 3
# mknod /var/lib/named/dev/random c 1 8
# chmod 666 /var/lib/named/dev/null /var/lib/named/dev/random

Pour autoriser le démon syslog à prendre en compte les logs de bind, il nous faut lui préciser d'écouter le socket /var/lib/named/dev/log. Pour ce faire, modifier le fichier /etc/default/syslogd pour utiliser l'option suivante.

SYSLOGD="-a /var/lib/named/dev/log"

Une dernière chose, consiste à créer le répertoire pour stocker le pid du processus. J'ai opté pour une amélioration du fichier de démarrage du service. J'ai modifié le fichier /etc/init.d/bind9 :

CHROOT_DIR=`echo $OPTIONS | cut -d ' ' -f 4`
# dirs under /var/run can go away on reboots.
mkdir -p $CHROOT_DIR/var/run/bind/run
chmod 775 $CHROOT_DIR/var/run/bind/run
chown root:bind $CHROOT_DIR/var/run/bind/run >/dev/null 2>&1 || true

Il faut déplacer les fichiers RR précédemment stockés dans /var/cache/bind/, dans /var/lib/named/var/cache/bind

# mv /var/cache/bind/* /var/lib/named/var/cache/bind/

L'arborescence est complète et tous les fichiers sont présents, mais les droits ne sont pas encore aux points, donc :

# chown -R root:bind /var/lib/named/etc/bind
# chmod 640 /var/lib/named/etc/bind/*
# chown bind:bind /var/lib/named/var/*

Gestion des clients

Comme je l'ai mentionne au début, l'attribution des adresses IP sur le réseau local est effectuée par le serveur DHCP. Ainsi, pour définir notre serveur DNS aux différents clients, il est nécessaire d'ajouter au fichier de configuration DHCP les deux lignes suivantes :

* option domain-name "example.com" * option domain-name-servers sid.example.com

Pour de plus amples informations sur la mise en place de l'update dynamique des enregistrements DNS via Dhcp c'estici

Les outils de tests

Liens et Ressources


/!\ ?ToDos