Le DNS primaire utilise bind.
Sa configuration est située dans /etc/bind/ et est composé des fichiers suivants :
named.conf.keys: contient la liste des clefs utilisées pour mettre à jour la zone _acme-challengenamed.conf.local: contient la liste des zonesLes fichiers de zones sont dans /var/lib/bind/ et sont composés de la sorte :
rezosup.net/
db: le fichier de zone de rezosup.net_acme-challenge.db: le fichier de la zone _acme-challenge utilisée pour générer les certificats (inutile de la modifier a priori)rezosup.org/
db: le fichier de zone de rezosup.org qui contient un DNAME vers rezosup.netLes zones sont maintenues signées par bind, l'empreinte DS de la zone _acme-challenge est publiée dans la zone de rezosup.net afin d'avoir une délégation signée.
Il est possible de visualiser l'état des zones grâce à l'outil dnsviz :
En cas de besoin voici la procédure pour ajouter une zone signée (avec comme exemple rezosup.net) :
# Créer le dossier des clefs
mkdir /var/cache/bind/keys
chmod ug=rwx,o=,g+s /var/cache/bind/keys
chgrp bind /var/cache/bind/keys
# Créer les clefs
cd /var/cache/bind/keys
# La liste des algorithmes est disponible ici : https://www.iana.org/assignments/dns-sec-alg-numbers/dns-sec-alg-numbers.xhtml
algorithm=ECDSAP384SHA384
domain=rezosup.net
# Pour les algorithmes RSA préciser le nombre de bits avec -b
dnssec-keygen -a $algorithm -f KSK $domain
dnssec-keygen -a $algorithm $domain
chmod g+r *.private
# Ajouter les lignes suivantes dans la configuration de la zone (named.conf.local)
#inline-signing yes;
#auto-dnssec maintain;
#serial-update-method increment;
# Ajouter la ligne suivante dans les options (named.conf.options)
#key-directory "/var/cache/bind/keys";
systemctl reload bind9
rndc loadkeys $domain
rndc signing -nsec3param 1 0 10 auto $domain
# Obtenir les clefs
host -t DNSKEY $domain localhost
# La clef qui nous intéresse est la KSK (Flag 257)
# Il est possible d'obtenir son Tag en allant dans /var/cache/bind/keys ou en utilisant un outil comme https://dnsviz.net/
# Afficher des informations sur la zone
rndc zonestatus $domain
Les DNS étant un service critique, et les résidence étudiante n'étant pas renommée pour la fiabilité de leur connexion, les DNS sont hautement redondés.
Voici la liste des serveurs secondaires en avril 2021 :
ns0.rezel.netns1.rezel.net