Wiki de FedeRez

Outils pour utilisateurs

Outils du site

Piste : knot
admin:services:dns:knot

Ceci est une ancienne révision du document !

Table des matières

Knot DNS est un serveur DNS permettant de servir des zones (comme maître ou esclave).

Installation

On l'installe simplement via apt : 

apt install knot/jessie-backports knot-dnsutils/jessie-backports bind9utils

(Le paquet bind9utils permet de disposer de la commande named-checkzone pour vérifier un fichier de zone avant utilisation.)

Si la machine dispose également d'un serveur DNS récursif en écoute sur le port 53, il faut limiter Knot aux interfaces publique, en éditant /etc/knot/knot.conf. On utilise également un utilisateur avec des droits limités… Ainsi, pour dodecagon, on a :

/etc/knot/knot.conf
server:
    listen: 62.210.81.204@53
    listen: 2001:bc8:273e::@53
    user: knot:knot
    version: ""
    identity: ""

Administration

Création d'une zone

On édite le fichier de configuration de Knot pour avoir le contenu suivant :

/etc/knot/knot.conf
remote:
  - id: quigon
    address: 160.228.155.65@53
  - id: ns2.afraid.org
    address: 208.43.71.243@53
  - id: nssec.online.net
    address: 62.210.16.8@53

acl:
  - id: acl_slaves
    address: 160.228.155.65 # quigon
    address: 208.43.71.243  # ns2.afraid.org
    action: transfer

zone:
#  dnssec-enable: on;
#  dnssec-keydir: "/etc/knot/keys";
#  semantic-checks: on;

  - domain: federez.net
    file: /etc/knot/zones/db.federez.net
    notify: quigon
    acl: acl_slaves

…

DNSSEC sera a étudier, ce qui suit étant à modifier.

Si l'on ne veut pas que la zone soit signée avec DNSSEC, on ajoute à la zone la directive : dnssec-enable: off;, et on adapte le nom du fichier.

Sinon, il faut, au besoin, générer les clefs DNSSEC dans /etc/knot/keys.
Pour cela : 

cd /etc/knot/keys
dnssec-keygen -a ECDSAP384SHA384 -b 4096 -n ZONE federez.net
dnssec-keygen -f KSK -a ECDSAP384SHA384 -b 4096 -n ZONE federez.net

(À noter, les tailles des clefs sont peut-être un peu longues, la taille a été choisi sans recherches poussées.)
Enfin, il faut ajouter les clefs dans l'interface d'admin du registrar de la zone. Pour avoir les informations à donner, on pourra récupérer les clefs (après avoir rechargé la configuration de Knot) en local sur le serveur avec : 

dig +cd +multi federez.net dnskey

À noter, en cas de signature avec DNSSEC, il faut que le fichier de zone (en .signed) soit éditable par knot.

On place enfin le contenu de la zone dans /etc/knot/zones/federez.net et on le copie dans /etc/knot/zones/federez.net.signed

Modification d'une zone

On édite le fichier non-signé, par exemple /etc/knot/zones/federez.net.

Ensuite, on vérifie que l'on a bien mis à jour le serial (la première valeur numérique de l'enregistrement SOA, qui doit être de la forme AAAAMMJJXX et croissant à chaque modification) et que la zone est valide avec : 

named-checkzone federez.net /etc/knot/zones/federez.net

Enfin, on écrase le fichier en .signed : 

cat /etc/knot/zones/db.federez.net >| /etc/knot/zones/db.federez.net.signed

et on recharge knot : 

systemctl reload knot

On peut vérifier que knot s'est bien rechargé : 

systemctl status knot
admin/services/dns/knot.1489942578.txt.gz · Dernière modification : 2017/03/19 17:56 de herve.cognet
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki