Récemment dans la catégorie L'homme qui avait vu un manchot

Après avoir décrit ​signer une zone DNS sous Bind9, et ensuite comment ​gérer la signature d'une zone DNS avec OpenDNSSEC 1.3, je me suis rendu compte récemment que j'avais négligé d'activer la vérification des signatures DNSSEC :

ssh -v -o verifyHostKeyDNS=yes mnemosyne.daedelys.org
[...]
debug1: found 2 insecure fingerprints in DNS
debug1: matching host key fingerprint found in DNS

Ce qui comme le montre cet exemple fait dire à SSH qu'il ne peut pas vérifier les ​empreintes SSHFP.

Et en effet si nous demandons le drapeau ad (authentic data) dans la requête DNS :

dig +ad mnemosyne.daedelys.org in SSHFP 
; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> +ad mnemosyne.daedelys.org in SSHFP
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56640
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 5, ADDITIONAL: 6

nous ne l'avons pas dans la réponse.

Que cela ne tienne, nous allons donc configurer BIND9 pour vérifier les signatures des enregistrements.

Vous êtes peut-être un adepte de l'​auto-hébergement. Héberger par exemple ses propres mails est tentant par défi, goût de la liberté, ou défiance envers les géants d'Internet.

Vous avez donc configuré un serveur de mail chez vous, par exemple ​Dovecot. Vous en êtes fort contents mais bon :

• il y a ce voisin, collectionneur de pelleteuses, charmant au demeurant, mais qui a quand même tendance à briser votre ligne Internet tout les quatre matins.
• Il y a votre beau-frère, fan des ​cracheurs de feu, qui a malheureusement mis le feu à votre bureau en voulant faire une démonstration à ses neveux. Heureusement vous aviez des sauvegardes. Mais bon il a fallu un certain temps, voir un temps certain pour tout remettre en ordre de marche.

Là vous vous êtes dit, cela serait bien d'avoir un deuxième serveur pour accéder à vos mails si le premier est indisponible. Vous êtes donc allés voir votre beau-frère. En échange du retrait de votre plainte pour homicide, il a accepté d'héberger un serveur.

Maintenant il ne reste plus qu'à synchroniser les deux serveurs de mail...

Nous allons voir comment synchroniser une boîte mail avec l'utilitaire dsync fournis par Dovecot.

Il y a deux ans de cela j'avais tenté d'expliquer comment ​Signer une zone DNS sous Bind9.

Je soulevais le point suivant dans ma conclusion :

Comment gérer convenablement cette pléthore de clé ?

Car en effet, la gestion au quotidien de ces clés et des rotations nécessaires sont une procédure lourde. Il y a un risque non négligeable d'oublier de renouveler une clé et d'avoir des erreur comme celle ci

<debian@daedelys.org>: Host or domain name not found. Name service error for
    name=daedelys.org type=MX: Host not found, try again

De plus comme les enregistrements DNSSEC commencent seulement à être vérifiés, cette erreur peut être difficile à corriger.

Des sites web permettent de visualiser l'état d'une zone :

• ​DNSViz A DNS visualization tool qui propose une (belle) représentation graphique
• ​ZoneCheck, en français mais qui, je trouve, à une tendance à faire une belle page blanche quand il y a un problème dans la configuration DNS,
• ​DNSCheck Test your DNS-server and find errors

Après avoir remarqué que ces sites vous crachaient des insanités diverses et variées sur le status DNSSEC de votre zone et comme vous êtes un fidèle lecteur du blog de ​Stéphane Bortzmeyer vous avez décider d'utiliser ​OpenDNSSEC pour occuper vos nuits à faire autre chose que de la cryptographie.

Gandi propose un hébergement de serveurs sur infrastructure cloud.

Il est proposé plusieurs mode de gestions et plusieurs systèmes d'opérations.

Fin 2009 j'avais commandé un serveur que j'avais pris sous Debian Lenny en mode expert, or le 5 février 2011 Debian Squeeze fut publié.

Il fallait donc faire une mise à jour avant la fin du monde en 2012, et nous allons voir comment faire cela en suivant le guide de mise à niveau depuis Debian 5.0 (Lenny)