Récemment dans la catégorie L'homme qui avait vu un manchot

mardi 23 septembre 2014

Activer la vérification des signatures DNSSEC dans BIND9

Après avoir décrit signer une zone DNS sous Bind9, et ensuite comment gérer la signature d'une zone DNS avec OpenDNSSEC 1.3, je me suis rendu compte récemment que j'avais négligé d'activer la vérification des signatures DNSSEC :

ssh -v -o verifyHostKeyDNS=yes mnemosyne.daedelys.org
[...]
debug1: found 2 insecure fingerprints in DNS
debug1: matching host key fingerprint found in DNS

Ce qui comme le montre cet exemple fait dire à SSH qu'il ne peut pas vérifier les empreintes SSHFP.

Et en effet si nous demandons le drapeau ad (authentic data) dans la requête DNS :

dig +ad mnemosyne.daedelys.org in SSHFP 
; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> +ad mnemosyne.daedelys.org in SSHFP
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56640
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 5, ADDITIONAL: 6

nous ne l'avons pas dans la réponse.

Que cela ne tienne, nous allons donc configurer BIND9 pour vérifier les signatures des enregistrements.

» Lire un peu plus »

mardi 15 juillet 2014

Alors

nous avons parlé élégance, SQL, BD, soirées (chéries Chéris), Ruby, powerbuilder, python, schtroumpf, et j'en oublie...

Et surtout tais toi et mange !

Encore une excellente bouffe F.M.B.L.

mardi 15 juillet 2014

Le digestif

Le Digestif...

mardi 15 juillet 2014

Ceci n'est pas un plateau de fromage

Ceci n'est pas un plateau de fromage

jeudi 29 mai 2014

Synchronisation des mails avec l'utilitaire dsync de dovecot

Vous êtes peut-être un adepte de l'auto-hébergement. Héberger par exemple ses propres mails est tentant par défi, goût de la liberté, ou défiance envers les géants d'Internet.

Vous avez donc configuré un serveur de mail chez vous, par exemple Dovecot. Vous en êtes fort contents mais bon :

  • il y a ce voisin, collectionneur de pelleteuses, charmant au demeurant, mais qui a quand même tendance à briser votre ligne Internet tout les quatre matins.
  • Il y a votre beau-frère, fan des cracheurs de feu, qui a malheureusement mis le feu à votre bureau en voulant faire une démonstration à ses neveux. Heureusement vous aviez des sauvegardes. Mais bon il a fallu un certain temps, voir un temps certain pour tout remettre en ordre de marche.

Là vous vous êtes dit, cela serait bien d'avoir un deuxième serveur pour accéder à vos mails si le premier est indisponible. Vous êtes donc allés voir votre beau-frère. En échange du retrait de votre plainte pour homicide, il a accepté d'héberger un serveur.

Maintenant il ne reste plus qu'à synchroniser les deux serveurs de mail...

Nous allons voir comment synchroniser une boîte mail avec l'utilitaire dsync fournis par Dovecot.

» Lire un peu plus »

lundi 10 février 2014

Du sang & des Larmes

Je n'ai rien d'autre à t'offrir que du sang, de la douleur, des larmes et de la sueur.

mardi 7 janvier 2014

Gérer la signature d'une zone DNS avec OpenDNSSEC 1.3

Il y a deux ans de cela j'avais tenté d'expliquer comment Signer une zone DNS sous Bind9.

Je soulevais le point suivant dans ma conclusion :

Comment gérer convenablement cette pléthore de clé ?

Car en effet, la gestion au quotidien de ces clés et des rotations nécessaires sont une procédure lourde. Il y a un risque non négligeable d'oublier de renouveler une clé et d'avoir des erreur comme celle ci

<debian@daedelys.org>: Host or domain name not found. Name service error for
    name=daedelys.org type=MX: Host not found, try again

De plus comme les enregistrements DNSSEC commencent seulement à être vérifiés, cette erreur peut être difficile à corriger.

Des sites web permettent de visualiser l'état d'une zone :

Après avoir remarqué que ces sites vous crachaient des insanités diverses et variées sur le status DNSSEC de votre zone et comme vous êtes un fidèle lecteur du blog de Stéphane Bortzmeyer vous avez décider d'utiliser OpenDNSSEC pour occuper vos nuits à faire autre chose que de la cryptographie.

» Lire un peu plus »

lundi 19 septembre 2011

Signer une zone DNS sous Bind9

Internet est un réseau mondial de machine informatique, j'aime rappeler des évidences.

Comme dans tout réseau, pour pouvoir circuler (ici l'information),  nous avons besoin d'organisation. C'est pour permettre cette circulation qu'existent des mécanismes, comme  Internet Protocol et les mécanismes de routage.

Malheureusement autant il est possible, d'accéder à l'information voulu  avec la version 4 d'internet Protocol, en utilisant une adresse comme 127.0.0.1, autant avec la version 6 d'Internet Protocol , utiliser (au mieux)  fc00::ec03:b3ff:fead:9c42 revient à s'adonner à un doux masochisme.
Se pose aussi le problème de connaître l'adresse voulu qui peut changer au fils du temps. Aux temps héroïques, un fichier contenant toutes les adresses était maintenu et distribué périodiquement. 
Mais la croissance d'Internet nécessita l'invention d'un service de nom de domaine.

Ce service permet de faire la traduction d'un nom (de domaine) vers une adresse. Son principe de base est une recherche récursive, nous allons demander à un service qui nous a été fournis lorsque nous nous sommes connecté au réseau de nous donner l'adresse du nom de domaine voulu.
Ce service fera de même en demandant aux services DNS qu'il lui a été fournis à sa connexion au réseau.
De proche en proche nous allons pouvoir avoir l'adresse  voulue.
Ce système fonctionne très bien quand toute le monde est de bonne volonté. Mais quand s'en mêle votre dictature favorite, ce service ne permet de s'assurer qu'une Eve ne s'est pas immiscé dans la conversation entre Alice et Bob.
C'est pour cela qu'il a été conçu Domain Name System Security Extensions et que nous allons voir comme signer une zone DNS sous Bind9.
» Lire un peu plus »

dimanche 8 mai 2011

Mise à jour d'un serveur Gandi de Debian Lenny à Debian Squeeze

Gandi propose un hébergement de serveurs sur infrastructure cloud.

Il est proposé plusieurs mode de gestions et plusieurs systèmes d'opérations.

Fin 2009 j'avais commandé un serveur que j'avais pris sous Debian Lenny en mode expert, or le 5 février 2011 Debian Squeeze fut publié.

Il fallait donc faire une mise à jour avant la fin du monde en 2012, et nous allons voir comment faire cela en suivant le guide de mise à niveau depuis Debian 5.0 (Lenny)

» Lire un peu plus »