Wednesday, June 5 2019, 10:59

DNS sec en trois coup de cuillière à pot

Il y a de cela très longtemps (vers 2010/2011), j’avais tenté d’implémenter DNSSEC sur mon domaine, hirlimann.net. J’avais lu de la documentation et suivit les docs du sieur Bortzmeyer. Mais je m’y étais pris comme un sagouin et à la première mise à jour de clef j’avais “perdu” mon domaine. Comme à l’époque j’étais pressé j’avais tout simplement laissé tombé.

Il y a quelques mois, j’ai trouvé par hasard une allusion aux enregistrements SSHFP. Et qui en prérequis nécessitent DNSSec. j’ai donc commencé à réétudier la question – et je me suis rendu compte que mon registrar, Gandi.net, proposait une option dnssec si l’on utilisait leur serveur de nom (chose que je faisais suite a un souci avec BIND sur ma machine). J’ai donc mis en place (via un clic cette option) dnssec sur mon nom de domaine. Dans la foulée j’ai ajouté des enregistrements sshfp et mis en place dmarc pour mes courriels.

Thursday, April 5 2018, 11:52

Making unbound your default resolver on Fedora

I've had unbound installed for quite some time now. The idea to have an uncensored dns resolver has always been something I wanted. Adding that unbound also does dnssec validation I was a fan (even If I stopped running dnssec here - cause it caused me too much trouble). Here is my recipe on Fedora 27 to make unbound your resolver:

  • sudo dnf install unbound
  • sudo systemctl enable unbound
  • sudo systemctl start unbound
  • journalctl -f -l -u unbound.service
  • sudo vi /etc/NetworkManager/NetworkManager.conf
    • add dns=unbound
  • ls -l /etc/resolv.con
    • if it's a symlink , do unlink /etc/resolv.conf
  • sudo vi /etc/unbound/unbound.conf
  • *uncomment access-control: 127.0.0.0/8 allow and access-control: ::1 allow
  • sudo systemctl restart unbound

et voila ! I was greatly helped by https://developer.gnome.org/NetworkManager/stable/NetworkManager.conf.html