eric
/
Yojik.net


			
							123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178179180181182183184185186187188189190191192193194195196197198199200201202203204205206207208209210211212213214215216217218219220221222223224225226227228229230231232233234235236237238239240241242243244245246247248249250251252253254255256257258259260261262263264265266267268269270271272273274275276277278279280281282283284285286287288289290291292293294295296297298299300301302303304305306307308309310311312313314315316317318319320321322323324325326327328329330331332333334335336337338339340341342343344345346347348349350351352353354355356357358359360361362363364365366367368369370371372373374375376377378379380381382383384385386387388389390391392393394395396397398399400401402403404405406407408409410411412413414415416417418419420421422423424425426427428429430431432433434
							<!DOCTYPE html>
<!--[if IE 8]><html class="no-js lt-ie9" lang="en" > <![endif]-->
<!--[if gt IE 8]><!--> <html class="no-js" lang="en" > <!--<![endif]-->
<head>
  <meta charset="utf-8">
  <meta http-equiv="X-UA-Compatible" content="IE=edge">
  <meta name="viewport" content="width=device-width, initial-scale=1.0">
  
  
  <link rel="shortcut icon" href="../../../img/favicon.ico">
  <title>Installation du serveur DNS - Les Tutoriels du Yojik</title>
  <link rel="stylesheet" href="../../../css/theme.css" />
  <link rel="stylesheet" href="../../../css/theme_extra.css" />
  <link rel="stylesheet" href="https://cdnjs.cloudflare.com/ajax/libs/highlight.js/9.12.0/styles/github.min.css" />
  
  <script>
    // Current page data
    var mkdocs_page_name = "Installation du serveur DNS";
    var mkdocs_page_input_path = "Tutoriels/tutostretch/Installation-Serveur-DNS.md";
    var mkdocs_page_url = null;
  </script>
  
  <script src="../../../js/jquery-2.1.1.min.js" defer></script>
  <script src="../../../js/modernizr-2.8.3.min.js" defer></script>
  <script src="https://cdnjs.cloudflare.com/ajax/libs/highlight.js/9.12.0/highlight.min.js"></script>
  <script>hljs.initHighlightingOnLoad();</script> 
  
</head>

<body class="wy-body-for-nav" role="document">

  <div class="wy-grid-for-nav">

    
    <nav data-toggle="wy-nav-shift" class="wy-nav-side stickynav">
    <div class="wy-side-scroll">
      <div class="wy-side-nav-search">
        <a href="../../.." class="icon icon-home"> Les Tutoriels du Yojik</a>
        <div role="search">
  <form id ="rtd-search-form" class="wy-form" action="../../../search.html" method="get">
    <input type="text" name="q" placeholder="Search docs" title="Type search term here" />
  </form>
</div>
      </div>

      <div class="wy-menu wy-menu-vertical" data-spy="affix" role="navigation" aria-label="main navigation">
                <p class="caption"><span class="caption-text">Home</span></p>
                <ul>
                    <li class="toctree-l1"><a class="reference internal" href="../../..">Page d'accueil</a>
                    </li>
                </ul>
                <p class="caption"><span class="caption-text">Tutoriels</span></p>
                <ul class="current">
                    <li class="toctree-l1"><a class="reference internal" href="../../tutos/">Introduction</a>
                    </li>
                    <li class="toctree-l1 current"><a class="reference internal current" href="#">Installation d'un serveur sécurisé, version Debian/Stretch (obsolète)</a>
    <ul class="current">
                <li class="toctree-l2"><a class="reference internal" href="../tutostretch/">Présentation</a>
                </li>
                <li class="toctree-l2 current"><a class="reference internal current" href="#">Installation</a>
    <ul class="current">
                <li class="toctree-l3"><a class="reference internal" href="../Installation-de-base/">Installation du système de base</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../ovh/">Démarrage sur serveur OVH</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../Premi%C3%A8re-Etape-S%C3%A9curisation/">Première étapes de sécurisation du serveur</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../Configuration-R%C3%A9seau/">Configuration du réseau</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../Installation-Serveur-Temps/">Installation d'un serveur de temps</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../Installation-Parre-Feu/">Installation d'un pare-feu</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../Installation-Fail2ban/">Contrer les attaques de brute-force avec fail2ban</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../Installation-Serveur-Courrier-Basique/">Installation d'un serveur de courrier basique</a>
                </li>
                <li class="toctree-l3 current"><a class="reference internal current" href="./">Installation du serveur DNS</a>
    <ul class="current">
    <li class="toctree-l4"><a class="reference internal" href="#configuration-des-options-fichier-etcbindnamedconfoptions">Configuration des options: fichier /etc/bind/named.conf.options</a>
    </li>
    <li class="toctree-l4"><a class="reference internal" href="#configuration-de-votre-box-et-des-enregistrements-de-votre-registrar">Configuration de votre box et des enregistrements de votre registrar</a>
    </li>
    <li class="toctree-l4"><a class="reference internal" href="#verification-de-la-config-dns">Vérification de la config DNS:</a>
    </li>
    <li class="toctree-l4"><a class="reference internal" href="#configuration-du-reverse-dns">Configuration du reverse DNS</a>
    </li>
    </ul>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../Installation-Serveur-Web/">Installation d'un serveur web</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../Installation-Dovecot-Authentification/">Installation de dovecot et de l'authentification</a>
                </li>
                <li class="toctree-l3"><a class="" href="../Installation-Certificats-Letsencrypt.md)">Installation des certificats letsencrypt</a>
                </li>
                <li class="toctree-l3"><a class="" href="../courrier-SPF-DKIM-OPENDMARC.md">Ajout des enregistrements **spf**, **DKIM**, **DMARC** au fichier de zone DNS</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../Courrier-Comptes-Virtuels/">Ajout des comptes émail virtuels</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../Surveillance-Serveur/">Installation de programmes de surveillance du serveur</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../Installation-Webmail/">Installation d'un webmail (rainloop)</a>
                </li>
                <li class="toctree-l3"><a class="" href="../Sécurisation-Serveur-Web">Sécurisation d'un serveur WEB</a>
                </li>
    </ul>
                </li>
    </ul>
                    </li>
                    <li class="toctree-l1"><a class="reference internal" href="#">Installation d'un serveur sécurisé, version Debian/Buster (en cours d'écriture)</a>
    <ul>
                <li class="toctree-l2"><a class="reference internal" href="../../tutobuster/1-tutobuster/">Présentation</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../../tutobuster/2-Installation-de-base/">Installation de base</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../../tutobuster/3-ovh/">Démarrage sur serveur OVH</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../../tutobuster/4-Plan/">Plan d'ensemble</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../../tutobuster/5-Premi%C3%A8re-Etape-S%C3%A9curisation/">Premières étapes de sécurisation du serveur</a>
                </li>
    </ul>
                    </li>
                    <li class="toctree-l1"><a class="reference internal" href="#">Installation d'un serveur sécurisé, version Debian/Buster sur RaspberryPI</a>
    <ul>
                <li class="toctree-l2"><a class="reference internal" href="../../tutoraspi/tutoraspi/">Présentation</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../../tutoraspi/Installation-de-base/">Installation de base</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../../tutoraspi/Premier-d%C3%A9marrage/">Premier démarrage</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../../tutoraspi/Etat-des-lieux/">État des lieux</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../../tutoraspi/S%C3%A9curisation-SSH/">Sécurisation SSH</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../../tutoraspi/R%C3%A9seau/">Réseau (des IPs fixes)</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../../tutoraspi/Knot/">Installation de Knot-resolver</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../../tutoraspi/Firewall/">Installation d'un pare-feux</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../../tutoraspi/Fail2ban/">Contrer les attaques de force brute</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../../tutoraspi/Logwatch/">Surveillance du serveur</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../../tutoraspi/Installation-courrier-basique/">Installation d'un serveur de courriers basique</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../../tutoraspi/Annexe/">Annexe</a>
                </li>
    </ul>
                    </li>
                </ul>
      </div>
    </div>
    </nav>

    <section data-toggle="wy-nav-shift" class="wy-nav-content-wrap">

      
      <nav class="wy-nav-top" role="navigation" aria-label="top navigation">
        <i data-toggle="wy-nav-top" class="fa fa-bars"></i>
        <a href="../../..">Les Tutoriels du Yojik</a>
      </nav>

      
      <div class="wy-nav-content">
        <div class="rst-content">
          <div role="navigation" aria-label="breadcrumbs navigation">
  <ul class="wy-breadcrumbs">
    <li><a href="../../..">Docs</a> &raquo;</li>
    
      
          <li>Installation &raquo;</li>
        
      
          <li>Installation d'un serveur sécurisé, version Debian/Stretch (obsolète) &raquo;</li>
        
      
          <li>Tutoriels &raquo;</li>
        
      
    <li>Installation du serveur DNS</li>
    <li class="wy-breadcrumbs-aside">
      
    </li>
  </ul>
  
  <hr/>
</div>
          <div role="main">
            <div class="section">
              
                <h1 id="installation-du-serveur-dns">Installation du serveur DNS</h1>
<p>Nous allons installer <strong>bind</strong>.</p>
<pre><code>root@aijan:/home/ericadmin# apt install bind9
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances
Lecture des informations d'état... Fait
The following additional packages will be installed:
  bind9utils libirs141
etc ...

root@aijan:/home/ericadmin# service bind9 start
root@aijan:/home/ericadmin# netstat -tlpn
Connexions Internet actives (seulement serveurs)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat        PID/Program name
tcp        0      0 192.168.111.240:53      0.0.0.0:*             LISTEN      13815/named
tcp        0      0 127.0.0.1:53            0.0.0.0:*             LISTEN      13815/named
tcp        0      0 0.0.0.0:22              0.0.0.0:*             LISTEN      594/sshd
tcp        0      0 127.0.0.1:953           0.0.0.0:*             LISTEN      13815/named
tcp        0      0 0.0.0.0:25              0.0.0.0:*             LISTEN      803/master
tcp6       0      0 :::53                   :::*                  LISTEN      13815/named
tcp6       0      0 :::22                   :::*                  LISTEN      594/sshd
tcp6       0      0 ::1:953                 :::*                  LISTEN      13815/named
tcp6       0      0 :::25                   :::*                  LISTEN      803/master
root@aijan:/home/ericadmin#
</code></pre>
<p>Bien, bind a démarré et écoute sur les ports 53 et 953, en IPV4 et IPV6. Il nous reste à configurer les zones et à ouvrir les ports (firewall). Je vais utiliser comme serveur <strong>dns</strong> secondaire pour la zone <strong>yojik.net</strong> le serveur que j'utilise déjà pour la zone <strong>yojik.eu</strong>.</p>
<p>Nous configurerons le serveur dns local pour qu'il transfère les zones automatiquement vers notre serveur dns secondaire.</p>
<p>Voilà la structure générale de mes serveurs DNS:</p>
<ul>
<li>
<p>adara.yojik.eu: serveur DNS primaire pour le domaine yojik.eu</p>
</li>
<li>
<p>polis.yojik.eu:</p>
</li>
<li>serveur DNS secondaire pour le domaine yojik.eu</li>
<li>serveur DNS secondaire pour le domaine yojik.net</li>
</ul>
<p>aijan.yojik.net: serveur DNS primaire pour le site yojik.net</p>
<p>Ce dernier serveur déclarera l'ensemble des machines et serveurs du domaine yojik.net. (ce sont les machines de bureau/portables ainsi que le serveurs hébergés à la maison.)</p>
<p>Les enregistrements <strong>glue</strong> seront renseignés chez mon registrar (OVH dans mon cas). Les serveurs DNS seront également déclarés chez ce registrar.</p>
<p>Notre zone yojik.net est déclarée dans le fichier <strong>/etc/bind/named.conf.local</strong>. (en faire une copie de sauvegarde!)</p>
<p>Voici son contenu avant modification:</p>
<pre><code>//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";
</code></pre>
<p>Contenu après ajout de la zone yojik.net:</p>
<pre><code>    zone "yojik.net" {
        type master;
        file "/etc/bind/db.yojik.net";
    };
</code></pre>
<p>Dans tous les tutorials, vous verrez la déclaration des zones inverses: après de nombreux échanges avec des spécialistes, il s'avère que ce n'est pas nécessaire, car mes serveurs DNS ne seront jamais interrogés pour la résolution inverse: pour cela, il faudrait que mon registrar me délègue la gestion de la zone. Je n'ai qu'une adresse IPV4 associée à ce domaine et pas de délégation.</p>
<p>Création du fichier de zone <strong>db.yojik.net</strong> dans le répertoire <strong>/etc/bind</strong>.</p>
<pre><code>root@aijan:/etc/bind# vim db.yojik.net

root@aijan:/etc/bind# cat db.yojik.net
$TTL 86400
$ORIGIN yojik.net.

@    IN    SOA  aijan.yojik.net. hostmaster.yojik.net. (
                2018052001  ; serial à changer à chaque modification
                7200        ; refresh, 12h
                3600        ; retry, 1h
                1209600     ; expire
                86400 )     ; negative cache, 24h


; nameservers
        IN      NS      aijan.yojik.net.
        IN      NS      polis.yojik.eu.


;mail server
        IN      MX      10      aijan.yojik.net.

; domain hosts
yojik.net.     IN       A       82.64.48.5
yojik.net.     IN       AAAA    2a01:e0a:54:c220:3aea:a7ff:fea6:cf93
aijan           IN      A       82.64.48.5
aijan           IN      AAAA    2a01:e0a:54:c220:3aea:a7ff:fea6:cf93
</code></pre>
<p>On relance bind et on teste en local:</p>
<pre><code>root@aijan:/home/ericadmin# service bind9 restart
root@aijan:/home/ericadmin# nslookup aijan.yojik.net localhost
Server:     localhost
Address:    ::1#53

Name:   aijan.yojik.net
Address: 82.64.48.5

root@aijan:/home/ericadmin#
</code></pre>
<p>Ça marche!</p>
<p>Test de notre enregistrement MX (mail) avec <strong>dig</strong>:</p>
<pre><code>root@aijan:/etc/bind# dig @localhost aijan.yojik.net MX

; &lt;&gt; DiG 9.10.3-P4-Debian &lt;&gt; @localhost aijan.yojik.net MX
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; -&gt;&gt;HEADER&lt;&lt;- opcode: QUERY, status: NOERROR, id: 21275
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;aijan.yojik.net.       IN  MX

;; AUTHORITY SECTION:
yojik.net.      86400   IN  SOA aijan.yojik.net. hostmaster.yojik.net. 2018052003 7200 3600 1209600 86400

;; Query time: 0 msec
;; SERVER: ::1#53(::1)
;; WHEN: Sun May 20 10:27:17 CEST 2018
;; MSG SIZE  rcvd: 91
</code></pre>
<p>Il nous reste plusieurs éléments à configurer pour que notre serveur dns soit pris en compte.</p>
<ol>
<li>Configurer notre box pour rediriger les requêtes extérieures DNS sur notre serveur DNS personnel.</li>
<li>Mettre à jour la configuration de nos enregistrements chez notre registrar.</li>
<li>Ajouter notre zone à notre serveur DNS secondaire (polis.yojik.eu) et mise à jour de la clef de connexion.</li>
</ol>
<p>Fichier /etc/bind/conf.named.local</p>
<pre><code>zone    "yojik.eu" {
        type slave;
        file    "db.yojik.eu.local";
        masters  { 91.121.72.10; };
};

zone    "yojik.net" {
        type slave;
        file    "db.yojik.net.local";
        masters  { 82.64.48.5; };
};
</code></pre>
<h2 id="configuration-des-options-fichier-etcbindnamedconfoptions">Configuration des options: fichier /etc/bind/named.conf.options</h2>
<pre><code>options {
        directory "/var/cache/bind";

        // If there is a firewall between you and nameservers you want
        // to talk to, you may need to fix the firewall to allow multiple
        // ports to talk. See http://www.kb.cert.org/vuls/id/800113

        // If your ISP provided one or more IP addresses for stable
        // nameservers, you probably want to use them as forwarders.
        // Uncomment the following block, and insert the addresses replacing
        // the all-0's placeholder.

        // forwarders {
        //      0.0.0.0;
        // };

        //========================================================================
        // If BIND logs error messages about the root key being expired,
        // you will need to update your keys. See https://www.isc.org/bind-keys
        //========================================================================
        dnssec-validation auto;

        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { any; };
        listen-on { any; };
        allow-update { none; };
        allow-recursion { 127.0.0.1; ::1; 91.121.72.10;2001:41d0:1:7d0a::1; 37.187.3.182; 2001:41d0:a:3b6::1; };
        allow-transfer { 37.187.3.182; 2001:41d0:a:3b6::1; };
        version "BIND";
};
</code></pre>
<p>Pensez à vérifier que la clef située dans le fichier: /etc/bind/rndc.key est identique sur votre serveur primaire et secondaire.</p>
<h2 id="configuration-de-votre-box-et-des-enregistrements-de-votre-registrar">Configuration de votre <strong>box</strong> et des enregistrements de votre registrar</h2>
<p>Cela étant très dépendant de chaque registrar et de chaque <strong>box</strong>, je vous laisse chercher sur le net les informations utiles. Sachez tout de même que peu de fournisseurs d'internet autorisent l'installation d'un serveur émail personnel. I8l vous faudra souvent attendre un peu avant que la configuration ne soit prise en compte chez votre registrar.</p>
<h2 id="verification-de-la-config-dns">Vérification de la config DNS:</h2>
<p>Allez sur le site <a href="https://toolbox.googleapps.com/apps/dig/">toolbox</a> pour tester votre configuration.</p>
<h2 id="configuration-du-reverse-dns">Configuration du reverse DNS</h2>
<p>Si vous hébergez votre serveur <em>chez vous</em>, vous devrez configurer le reverse DNS dans la page d'administration de votre ligne Internet.</p>
<p>Pour le FAI Free, allez sur la page: "Personnalisez mon reverse DNS", et mettez votre nom de doamine dans le champ adéquat.</p>
<p>Il faut quelques heures pour que la propagation se fasse.</p>
              
            </div>
          </div>
          <footer>
  
    <div class="rst-footer-buttons" role="navigation" aria-label="footer navigation">
      
        <a href="../Installation-Serveur-Web/" class="btn btn-neutral float-right" title="Installation d'un serveur web">Next <span class="icon icon-circle-arrow-right"></span></a>
      
      
        <a href="../Installation-Serveur-Courrier-Basique/" class="btn btn-neutral" title="Installation d'un serveur de courrier basique"><span class="icon icon-circle-arrow-left"></span> Previous</a>
      
    </div>
  

  <hr/>

  <div role="contentinfo">
    <!-- Copyright etc -->
    
  </div>

  Built with <a href="https://www.mkdocs.org/">MkDocs</a> using a <a href="https://github.com/snide/sphinx_rtd_theme">theme</a> provided by <a href="https://readthedocs.org">Read the Docs</a>.
</footer>
      
        </div>
      </div>

    </section>

  </div>

  <div class="rst-versions" role="note" aria-label="versions">
    <span class="rst-current-version" data-toggle="rst-current-version">
      
      
        <span><a href="../Installation-Serveur-Courrier-Basique/" style="color: #fcfcfc;">&laquo; Previous</a></span>
      
      
        <span style="margin-left: 15px"><a href="../Installation-Serveur-Web/" style="color: #fcfcfc">Next &raquo;</a></span>
      
    </span>
</div>
    <script>var base_url = '../../..';</script>
    <script src="../../../js/theme.js" defer></script>
      <script src="../../../search/main.js" defer></script>
    <script defer>
        window.onload = function () {
            SphinxRtdTheme.Navigation.enable(true);
        };
    </script>

</body>
</html>