Je suis en train de lire Upgrade de Blake Crouch. Science fiction jeune adulte qui se lit vite et bien, histoire pour le moment un peu bateau (mais pas désagréable)
L’auteur utilise pas mal de références pour donner une caution scientifique mais parfois ce n’est pas ça 😅
Il ne me restait plus qu’à exécuter un protocole d’échange de clé sans me faire détecter, et je réalisai la chose à l’aide d’un algorithme trouvé sur le dark web.
Don’t do cryptography, Kids !
Après avoir décrit signer une zone DNS sous Bind9, et ensuite comment gérer la signature d'une zone DNS avec OpenDNSSEC 1.3, je me suis rendu compte récemment que j'avais négligé d'activer la vérification des signatures DNSSEC :
ssh -v -o verifyHostKeyDNS=yes mnemosyne.daedelys.org [...] debug1: found 2 insecure fingerprints in DNS debug1: matching host key fingerprint found in DNS
Ce qui comme le montre cet exemple fait dire à SSH qu'il ne peut pas vérifier les empreintes SSHFP.
Et en effet si nous demandons le drapeau ad (authentic data) dans la requête DNS :
dig +ad mnemosyne.daedelys.org in SSHFP
; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> +ad mnemosyne.daedelys.org in SSHFP
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56640
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 5, ADDITIONAL: 6
nous ne l'avons pas dans la réponse.
Que cela ne tienne, nous allons donc configurer BIND9 pour vérifier les signatures des enregistrements.
nous avons parlé élégance, SQL, BD, soirées (chéries Chéris), Ruby, powerbuilder, python, schtroumpf, et j'en oublie...
Et surtout tais toi et mange !
Encore une excellente bouffe F.M.B.L.
Vous êtes peut-être un adepte de l'auto-hébergement. Héberger par exemple ses propres mails est tentant par défi, goût de la liberté, ou défiance envers les géants d'Internet.
Vous avez donc configuré un serveur de mail chez vous, par exemple Dovecot. Vous en êtes fort contents mais bon :
Là vous vous êtes dit, cela serait bien d'avoir un deuxième serveur pour accéder à vos mails si le premier est indisponible. Vous êtes donc allés voir votre beau-frère. En échange du retrait de votre plainte pour homicide, il a accepté d'héberger un serveur.
Maintenant il ne reste plus qu'à synchroniser les deux serveurs de mail...
Nous allons voir comment synchroniser une boîte mail avec l'utilitaire dsync fournis par Dovecot.
Je n'ai rien d'autre à t'offrir que du sang, de la douleur, des larmes et de la sueur.
Il y a deux ans de cela j'avais tenté d'expliquer comment Signer une zone DNS sous Bind9.
Je soulevais le point suivant dans ma conclusion :
Comment gérer convenablement cette pléthore de clé ?
Car en effet, la gestion au quotidien de ces clés et des rotations nécessaires sont une procédure lourde. Il y a un risque non négligeable d'oublier de renouveler une clé et d'avoir des erreur comme celle ci
<debian@daedelys.org>: Host or domain name not found. Name service error for
name=daedelys.org type=MX: Host not found, try again
De plus comme les enregistrements DNSSEC commencent seulement à être vérifiés, cette erreur peut être difficile à corriger.
Des sites web permettent de visualiser l'état d'une zone :
Après avoir remarqué que ces sites vous crachaient des insanités diverses et variées sur le status DNSSEC de votre zone et comme vous êtes un fidèle lecteur du blog de Stéphane Bortzmeyer vous avez décider d'utiliser OpenDNSSEC pour occuper vos nuits à faire autre chose que de la cryptographie.
Gandi propose un hébergement de serveurs sur infrastructure cloud.
Il est proposé plusieurs mode de gestions et plusieurs systèmes d'opérations.
Fin 2009 j'avais commandé un serveur que j'avais pris sous Debian Lenny en mode expert, or le 5 février 2011 Debian Squeeze fut publié.
Il fallait donc faire une mise à jour avant la fin du monde en 2012, et nous allons voir comment faire cela en suivant le guide de mise à niveau depuis Debian 5.0 (Lenny)