#26 Le 28/02/2019, à 14:46
- rogn...
Re : DNS attaqués, configurer DNSSEC
rogn... a écrit :Brunod a écrit :Je me demande surtout ce qu'on veut nous fourguer en douce sous couvert de passage à ces "nouvelles mesures" de sécurité.
Des mises à jour pour Windows, Mac, Android, iOS, et pour les bases de données anti-truc.
Non, je ne pense pas, une màj n'apporte rien en soi.
Sur un autre topic j'ai dit que j'avais écouté le secrétaire d'état au numérique Mounir Majoubi sur une émssion radio. Le mec prétend que l'on subit des attaques de grande ampleur et que ce ne serait du jamais vu. Pour éviter ça, il faut selon lui mettre à jour Windows, Mac, Android, iOS, et les bases de données anti-virus.
Ça ne va pas plus loin que ça. 
#27 Le 28/02/2019, à 15:24
- Brunod
Re : DNS attaqués, configurer DNSSEC
Mwoui, je m'en réfère plutôt au lien du post https://forum.ubuntu-fr.org/viewtopic.p … #p22060071 beaucoup plus fiable que le porte-parole que tu évoques qui d'ailleurs ne fait que répéter ce qu'on a entendu ces derniers jours; alors que visiblement il ne semble y a voir aucune attaque particulière, surtout que cela relayait une info datant de plus de 15 jours au moment où elle a été reprise 
https://www.zdnet.fr/actualites/attaque … 1551184681
https://www.zdnet.fr/actualites/selon-l … 1551093984
Ca sort le 23/2, alors que ça date de janvier...
"In January, security company FireEye revealed that hackers likely associated with Iran were hijacking DNS records on a massive scale, by rerouting users from a legitimate web address to a malicious server to steal passwords. "
Source :
https://techcrunch.com/2019/02/23/icann … CvOW4lurfI
Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis
Hors ligne
#28 Le 01/03/2019, à 10:07
- abecidofugy
Re : DNS attaqués, configurer DNSSEC
[Edit], pour vérifier un domaine :
dig +dnssec SOA ubuntu-fr.orgIl doit y avoir "ad" dans les réponses de flag --> https://serverfault.com/questions/15401 … ing-dnssec
Salut,
Si je comprends bien, Ubuntu-fr n’a pas le DNSSEC activé ?
dig +dnssec SOA ubuntu-fr.org
; <<>> DiG 9.11.3-1ubuntu1.5-Ubuntu <<>> +dnssec SOA ubuntu-fr.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41289
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 65494
;; QUESTION SECTION:
;ubuntu-fr.org. IN SOA
;; ANSWER SECTION:
ubuntu-fr.org. 6776 IN SOA a.dns.gandi.net. hostmaster.gandi.net. 1527509138 10800 3600 604800 10800
;; Query time: 0 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Fri Mar 01 09:04:08 CET 2019
;; MSG SIZE rcvd: 104Je ne vois pas de ad.
Sinon, à : http://www.dnssec-or-not.com/
J'ai :
Sigh... the test indicates you are NOT protected.
C’est bon ma box qui n'assure pas ?
Merci et belle journée.
Dernière modification par abecidofugy (Le 01/03/2019, à 10:09)
Hors ligne
#29 Le 01/03/2019, à 10:26
- bruno
Re : DNS attaqués, configurer DNSSEC
Tu as bien compris ubuntu-fr.org n'utilise pas DNSSEC, pas IPv6, …
Pour l'autre question quel résolveur utilises-tu ?
Hors ligne
#30 Le 01/03/2019, à 10:43
- maxire
Re : DNS attaqués, configurer DNSSEC
C'est tout de même étrange, pourquoi la validation dnssec n'est-elle pas activée par défaut côté client ?
Je viens de la mettre en place en activant le cache dns de dnsmasq sous NetworkManager et cela semble rouler.
Maxire
Archlinux/Mate + Ubuntu 22.04 + Archlinux/Gnome sur poste de travail
Hors ligne
#31 Le 01/03/2019, à 10:46
- nam1962
Re : DNS attaqués, configurer DNSSEC
Comment as-tu fait ?
[ Modéré ]
Hors ligne
#32 Le 01/03/2019, à 10:54
- maxire
Re : DNS attaqués, configurer DNSSEC
@nam1962, j'imagine que ta question est destinée à abecidofugy.
Maxire
Archlinux/Mate + Ubuntu 22.04 + Archlinux/Gnome sur poste de travail
Hors ligne
#33 Le 01/03/2019, à 11:00
- abecidofugy
Re : DNS attaqués, configurer DNSSEC
Pour l'autre question quel résolveur utilises-tu ?
C’est quoi la ligne de commande pour le savoir, ou dans le GUI ?
[/mode boulet]
Hors ligne
#34 Le 01/03/2019, à 11:16
- grandtoubab
Re : DNS attaqués, configurer DNSSEC
bruno a écrit :Pour l'autre question quel résolveur utilises-tu ?
C’est quoi la ligne de commande pour le savoir, ou dans le GUI ?
[/mode boulet]
nmclipour tracer les réponses
dig +trace ubuntu.compour l'identité des root.server
https://www.iana.org/domains/root/servers
Exemple
;; Received 525 bytes from 127.0.0.1#53(127.0.0.1) mon cache dnsmasq
;; Received 1198 bytes from 199.9.14.201#53(b.root-servers.net) le serveur racine University of Southern California (ISI)
;; Received 636 bytes from 192.35.51.30#53(f.gtld-servers.net) mon resolver Verisign tel qu'indiqué par https://dnslytics.com/ip/192.35.51.30
ubuntu.com. 600 IN A 91.189.94.40
ubuntu.com. 600 IN NS ns1.canonical.com.
ubuntu.com. 600 IN NS ns2.canonical.com.
ubuntu.com. 600 IN NS ns3.canonical.com.
;; Received 167 bytes from 91.189.91.139#53(ns3.canonical.com) Ubuntu est chez Canonical
Dernière modification par grandtoubab (Le 01/03/2019, à 11:45)
Linux tout seul sur HP Pavilion DV7 et Acer Aspire T650, Canon MG3650 en wifi
Debian 11 Bullseye Gnome/Xorg, Gnome/Wayland avec SDDM
https://bidouilledebian.wordpress.com/
ON M'A VU DANS LE VERCORS, SAUTER A L'ELASTIQUE..... J'AI DANS LES BOTTES DES MONTAGNES DE QUESTIONS....
Hors ligne
#35 Le 01/03/2019, à 12:40
- abecidofugy
Re : DNS attaqués, configurer DNSSEC
enp0s3: connecté to Nouvelle connexion : 802-3-ethernet
"Intel 82540EM Gigabit Ethernet Controller (PRO/1000 MT Desktop Adapter)"
ethernet (e1000), 08:00:27:90:50:5E, hw, mtu 1500
ip4 par défaut
inet4 192.168.1.45/24
route4 0.0.0.0/0
route4 192.168.1.0/24
route4 169.254.0.0/16
inet6 fe80::7459:844a:fcf0:7638/64
route6 ff00::/8
route6 fe80::/64
route6 fe80::/64
lo: non-géré
"lo"
loopback (unknown), 00:00:00:00:00:00, sw, mtu 65536
DNS configuration:
servers: 192.168.1.1
interface: enp0s3Euh… c'est 192.168.1.1 ?
Hors ligne
#36 Le 01/03/2019, à 12:46
- grandtoubab
Re : DNS attaqués, configurer DNSSEC
enp0s3: connecté to Nouvelle connexion : 802-3-ethernet "Intel 82540EM Gigabit Ethernet Controller (PRO/1000 MT Desktop Adapter)" ethernet (e1000), 08:00:27:90:50:5E, hw, mtu 1500 ip4 par défaut inet4 192.168.1.45/24 route4 0.0.0.0/0 route4 192.168.1.0/24 route4 169.254.0.0/16 inet6 fe80::7459:844a:fcf0:7638/64 route6 ff00::/8 route6 fe80::/64 route6 fe80::/64 lo: non-géré "lo" loopback (unknown), 00:00:00:00:00:00, sw, mtu 65536 DNS configuration: servers: 192.168.1.1 interface: enp0s3Euh… c'est 192.168.1.1 ?
oui c'est ta box, rien n'est configuré sur ton PC
Linux tout seul sur HP Pavilion DV7 et Acer Aspire T650, Canon MG3650 en wifi
Debian 11 Bullseye Gnome/Xorg, Gnome/Wayland avec SDDM
https://bidouilledebian.wordpress.com/
ON M'A VU DANS LE VERCORS, SAUTER A L'ELASTIQUE..... J'AI DANS LES BOTTES DES MONTAGNES DE QUESTIONS....
Hors ligne
#37 Le 01/03/2019, à 12:59
- abecidofugy
Re : DNS attaqués, configurer DNSSEC
oui c'est ta box, rien n'est configuré sur ton PC
J'ai changé pour ça : 80.67.169.12
fdn.fr
Hors ligne
#38 Le 01/03/2019, à 13:09
- inbox
Re : DNS attaqués, configurer DNSSEC
Salut,
Pour vérifier les DNS actifs sur le PC, cette commande filtre le retour :
sudo nmcli device show | grep DNSA+
Un problème résolu ? Indiquez le en modifiant le titre du sujet.
Hors ligne
#39 Le 01/03/2019, à 13:26
- maxire
Re : DNS attaqués, configurer DNSSEC
Quelque chose d'assez drôle, je viens de vérifier plusieurs sites français, www.liberation.fr, www.lepoint.fr, www.lemonde.fr, orange.fr, imap.orange.fr, pop3.orange.fr; aucun d'entre eux ne propose de validation dnssec.
@abecidofugy, ce n'est pas une question de paramétrage de serveur DNS à utiliser mais de paramétrage du client envoyant les requêtes DNS.
Si tu utilises networkmanager il est utile de passer via un cache dns local comme dnsmasq ou systemd-resolved, il faut alors configurer ces résolveurs locaux pour qu'ils demandent une validation dnssec.
Grantoubab a d'alleurs donné comment configurer networkmanager/dnsmasq pour activer dnssec dans un des précédents messages de ce fil.
En ce qui concerne le paramétrage de systemd-resolved ce n'est pas très clair.
Maxire
Archlinux/Mate + Ubuntu 22.04 + Archlinux/Gnome sur poste de travail
Hors ligne
#40 Le 29/03/2019, à 11:15
- maxire
Re : DNS attaqués, configurer DNSSEC
Salut,
Je reprends ce fil avec une configuration mettant en place dnssec via systemd-resolved sous Ubuntu 18.04 tout en utilisant les serveurs DNS de FDN:
bionic@k72f-J48-ubgnome:~$ cat /etc/systemd/resolved.conf
# This file is part of systemd.
#
# systemd is free software; you can redistribute it and/or modify it
# under the terms of the GNU Lesser General Public License as published by
# the Free Software Foundation; either version 2.1 of the License, or
# (at your option) any later version.
#
# Entries in this file show the compile time defaults.
# You can change settings by editing this file.
# Defaults can be restored by simply deleting this file.
#
# See resolved.conf(5) for details
[Resolve]
#DNS=
DNS=80.67.169.12 80.67.169.40 2001:910:800::12 2001:910:800::40
#FallbackDNS=
#Domains=
#LLMNR=no
#MulticastDNS=no
#DNSSEC=no
DNSSEC=allow-downgrade
#Cache=yes
#DNSStubListener=yes
bionic@k72f-J48-ubgnome:~$ionic@k72f-J48-ubgnome:~$ systemd-resolve --status --no-pager
Global
DNS Servers: 80.67.169.12
80.67.169.40
2001:910:800::12
2001:910:800::40
DNSSEC NTA: 10.in-addr.arpa
16.172.in-addr.arpa
168.192.in-addr.arpa
17.172.in-addr.arpa
18.172.in-addr.arpa
19.172.in-addr.arpa
20.172.in-addr.arpa
21.172.in-addr.arpa
22.172.in-addr.arpa
23.172.in-addr.arpa
24.172.in-addr.arpa
25.172.in-addr.arpa
26.172.in-addr.arpa
27.172.in-addr.arpa
28.172.in-addr.arpa
29.172.in-addr.arpa
30.172.in-addr.arpa
31.172.in-addr.arpa
corp
d.f.ip6.arpa
home
internal
intranet
lan
local
private
test
Link 3 (wls1)
Current Scopes: DNS
LLMNR setting: yes
MulticastDNS setting: no
DNSSEC setting: allow-downgrade
DNSSEC supported: no
DNS Servers: 192.168.1.1
DNS Domain: home
Link 2 (ens5)
Current Scopes: none
LLMNR setting: yes
MulticastDNS setting: no
DNSSEC setting: allow-downgrade
DNSSEC supported: yes
bionic@k72f-J48-ubgnome:~$Cette configuration permet de résoudre les noms de domaines locaux en l'occurrence via le serveur dns d'une livebox qui ne gère pas dnssec tout en utilisant les serveurs dns de FDN pour les domaines non locaux.
La connexion active est wls1, dnssec est indiqué comme non supporté par le serveur DNS local 192.168.1.1 mais supporté par les serveurs de FDN, systemd-resolved utilise automatiquement dnssec si les serveurs dns le proposent.
Résolution en local :
bionic@k72f-J48-ubgnome:~$ systemd-resolve fixe
fixe: 192.168.1.12
(fixe.home)
-- Information acquired via protocol DNS in 8.0ms.
-- Data is authenticated: no
bionic@k72f-J48-ubgnome:~$Résolution inverse en local :
bionic@k72f-J48-ubgnome:~$ systemd-resolve 192.168.1.12
192.168.1.12: fixe.home
-- Information acquired via protocol DNS in 8.3ms.
-- Data is authenticated: no
bionic@k72f-J48-ubgnome:~$Résolution www :
bionic@k72f-J48-ubgnome:~$ systemd-resolve sigok.verteiltesysteme.net
sigok.verteiltesysteme.net: 134.91.78.139
-- Information acquired via protocol DNS in 250.9ms.
-- Data is authenticated: yes
bionic@k72f-J48-ubgnome:~$Résolution inverse www :
bionic@k72f-J48-ubgnome:~$ systemd-resolve 134.91.78.139
134.91.78.139: derp.vs.uni-due.de
derp.vs.uni-duisburg-essen.de
-- Information acquired via protocol DNS in 502.5ms.
-- Data is authenticated: no
bionic@k72f-J48-ubgnome:~$Cette configuration permet de configurer les dns tout en laissant les connexions définies via Networkmanager en DHCP automatique, donc en utilisant le serveur dns local fourni par la box tout en n'utilisant pas les serveurs DNS du fournisseur de service internet.
Cela fonctionne avec Orange.
Plus d'information sur l'activation de DNSSEC :
bionic@k72f-J48-ubgnome:~$ systemd-resolve --statistics
DNSSEC supported by current servers: yes
Transactions
Current Transactions: 0
Total Transactions: 5139
Cache
Current Cache Size: 39
Cache Hits: 1281
Cache Misses: 3611
DNSSEC Verdicts
Secure: 75
Insecure: 137
Bogus: 0
Indeterminate: 0
bionic@k72f-J48-ubgnome:~$Maxire
Archlinux/Mate + Ubuntu 22.04 + Archlinux/Gnome sur poste de travail
Hors ligne
#41 Le 03/04/2019, à 14:21
- F50
Re : DNS attaqués, configurer DNSSEC
Salut,
@ maxire : Merci pour les précisions qui m'ont évité d'aller chercher plus loin. Par contre, quelques détails :
1. Est-ce volontaire les "bionic@k72f-J48-ubgnome:~$2 à la fin des fichiers .conf pour le retour de "systemd-resolve fixe" ?
Ici, si je fais "systemd-resolve fixe" il retourne : fixe: resolve call failed: All attempts to contact name servers or networks failed.
Mais si je change <fixe> par mon <hostname> ça fonctionne.
2. Un truc me dérange, si tu ne mets pas explicitement les FallbackDNS= " " /etc/resolv.conf retoune :
domain home
search home
nameserver 8.8.8.8
nameserver 8.8.4.4
Pas top vu que le but est justement de les éviter !
#42 Le 03/04/2019, à 14:32
- maxire
Re : DNS attaqués, configurer DNSSEC
Salut F50,
Réponses :
1 - C'est juste l'invite de commandes suivante et ce que j'affiche ce ne sont pas que des fichiers de configurations mais des résultats de commandes, je ne comprends pas ce que tu as tenté.
2 - Je ne comprends pas ce que tu veux dire, ce que tu as fait, d'autant que je ne me suis jamais préoccupé de /etc/resolv.conf qui devrait être :
bionic@k72f-J48-ubgnome:~$ cat /etc/resolv.conf
# Generated by NetworkManager
search home k72f-J48-ubgnome.home
nameserver 127.0.0.53
bionic@k72f-J48-ubgnome:~$si tu as bien activé systemd-resolved.
Dernière modification par maxire (Le 03/04/2019, à 14:33)
Maxire
Archlinux/Mate + Ubuntu 22.04 + Archlinux/Gnome sur poste de travail
Hors ligne
#43 Le 03/04/2019, à 15:11
- F50
Re : DNS attaqués, configurer DNSSEC
Salut maxire,
1. "C'est juste l'invite de commandes suivante", ça prête à confusion...
2. Ben, tu devrais car c'est LE FICHIER utiliser par tous les programmes pour la résolurtion DNS. Le miens est différent car je n'utilise pas NM, qui chez toi a écrit (comme chaque network manager le fait par défaut) :
# Generated by NetworkManager
D'où le "nameserver 127.0.0.53" chez toi contrairement à ici :
domain home
search home
nameserver 8.8.8.8
nameserver 8.8.4.4
Ces nameserver 8.8.8.8 & 8.8.4.4 doivent êtres un "default" de systemd-resolved si l'option FallbackDNS= " " est vide ou commentée dans /etc/systemd/resolved.conf et que le network manager installé ne résout pas les DNS de son propre chef.
Edit : Voici le pourquoi de la différence entre ton 127.0.0.53 et mes 8.8.8.8 & 8.8.4.4 dans resolv.conf :
DNS
https://wiki.archlinux.org/index.php/Sy … figuration
Dernière modification par F50 (Le 03/04/2019, à 15:32)
#44 Le 03/04/2019, à 16:01
- maxire
Re : DNS attaqués, configurer DNSSEC
La dernière invite de commandes indique simplement au lecteur que l'affichage des résultats est complet, c'est la norme de ce forum.
En disant, je ne me suis jamais préoccupé de /etc/resolv.conf je faisais référence à mon message, de plus tu peux parfaitement te passer de /etc/resolv.conf, tout dépend de la configuration de nsswitch et dnssd ou mdns/SD ne l'utilisent pas pour la résolution locale.
Au moins as-tu lancé le service systemd-resolved ?
Je ne connais pas ta configuration réseau exacte, les serveurs DNS de Google ne sortent pas de nulle part.
Je crois que tu es parti un peu en hors sujet, ce fil est consacré à DNSSEC et l'exemple que je donne est l'utilisation de systemd-resolved en cache DNS de NetworkMAnager avec une configuration DNS shuntant celle obtenue via le client DHCP (dhclient, dhcpcd ou le client interne) utilisé par NetworkManager.
Ton /etc/resolv.conf est plus que bizarre avec les paramétrages domain home et search home sans même un serveur DNS local indiqué, tu as raté un truc !
Pour les serveurs Google tu as dû également rater un truc et sans ta configuration complète je ne peux rien te conseiller et ce n'est d'ailleurs pas l'objet de ce fil.
Dernière modification par maxire (Le 03/04/2019, à 16:26)
Maxire
Archlinux/Mate + Ubuntu 22.04 + Archlinux/Gnome sur poste de travail
Hors ligne
#45 Le 03/04/2019, à 17:04
- grandtoubab
Re : DNS attaqués, configurer DNSSEC
Une doc de l'ANSSI
https://www.ssi.gouv.fr/uploads/2014/05 … si_1.3.pdf
La recommandation R4
Choisir un bureau d'enregistrement prenant en charge DNSSEC
Dernière modification par grandtoubab (Le 03/04/2019, à 17:06)
Linux tout seul sur HP Pavilion DV7 et Acer Aspire T650, Canon MG3650 en wifi
Debian 11 Bullseye Gnome/Xorg, Gnome/Wayland avec SDDM
https://bidouilledebian.wordpress.com/
ON M'A VU DANS LE VERCORS, SAUTER A L'ELASTIQUE..... J'AI DANS LES BOTTES DES MONTAGNES DE QUESTIONS....
Hors ligne
#46 Le 03/04/2019, à 19:47
- F50
Re : DNS attaqués, configurer DNSSEC
@ maxire : lancé "service systemd-resolved" ?
systemd-resolve --status --no-pager
Global
LLMNR setting: yes
MulticastDNS setting: yes
DNSOverTLS setting: no
DNSSEC setting: allow-downgrade
DNSSEC supported: yes
Current DNS Server: 80.67.169.12
DNS Servers: 80.67.169.12
80.67.169.40
2001:910:800::12
2001:910:800::40
Fallback DNS Servers: 1.1.1.1
9.9.9.10
2606:4700:4700::1111
2620:fe::10
DNSSEC NTA: 10.in-addr.arpa
16.172.in-addr.arpa
168.192.in-addr.arpa
17.172.in-addr.arpa
18.172.in-addr.arpa
19.172.in-addr.arpa
20.172.in-addr.arpa
21.172.in-addr.arpa
22.172.in-addr.arpa
23.172.in-addr.arpa
24.172.in-addr.arpa
25.172.in-addr.arpa
26.172.in-addr.arpa
27.172.in-addr.arpa
28.172.in-addr.arpa
29.172.in-addr.arpa
30.172.in-addr.arpa
31.172.in-addr.arpa
corp
d.f.ip6.arpa
home
internal
intranet
lan
local
private
test
Link 2 (wlp6s0)
Current Scopes: LLMNR/IPv4 LLMNR/IPv6
DefaultRoute setting: no
LLMNR setting: yes
MulticastDNS setting: no
DNSOverTLS setting: no
DNSSEC setting: allow-downgrade
DNSSEC supported: yesConcernant : "Pour les serveurs Google tu as dû également rater un truc et sans ta configuration complète je ne peux rien te conseiller et ce n'est d'ailleurs pas l'objet de ce fil."
As-tu lu le lien que j'ai mis ?
https://wiki.archlinux.org/index.php/Sy … figuration
Fallback
If systemd-resolved does not receive DNS server addresses from the network manager and no DNS servers are configured manually then systemd-resolved falls back to the fallback DNS addresses to ensure that DNS resolution always works.
[b]Note: The fallback DNS are in this order: Cloudflare, Quad9 (without filtering and without DNSSEC) and Google[/b]; see the systemd PKGBUILD where the servers are defined.
The addresses can be changed by setting FallbackDNS= in resolved.conf(5). E.g.: Pour ce qui est de mon /etc/revolv.conf plus que bizarre, c'est probablement connman qui y met du sien. Je vais regarder ça de prêt...
#47 Le 03/04/2019, à 20:57
- maxire
Re : DNS attaqués, configurer DNSSEC
Euh, non ton problème n'a rien à voir avec les serveurs de secours (fallback servers) car si je lis cet extrait de ta configuration systemd-resolved :
Fallback DNS Servers: 1.1.1.1
9.9.9.10
2606:4700:4700::1111
2620:fe::10Je ne vois aucun serveur Google !
Je ne sais pas comment a été généré ton /etc/resolv.conf mais je crois qu'il faut chercher par là,.
Je ne connais pas conman, tiens-t-il compte de systemd-resolved ?
Maxire
Archlinux/Mate + Ubuntu 22.04 + Archlinux/Gnome sur poste de travail
Hors ligne
#48 Le 04/04/2019, à 07:33
- F50
Re : DNS attaqués, configurer DNSSEC
C'est rentré dans l'ordre après un reboot alors que j'avais relancé tous les services.
Il n'y avait plus de serveur googoole car je l'avais déjà enlevé mais resolv.conf continuait à l'indiquer. Si l'on ne désire pas ces fallback DNS, il suffit de laisser FallbackDNS= vide ou garder ceux au choix.
Connman est particulier car il utilise ses propres DNS proxy mais il y a moyen de stopper cette fonction (voir wiki arch). Maintenant il génére resolv.conf mais avec les DNS indiqué par systemd-resolved.
#49 Le 04/04/2019, à 08:32
- maxire
Re : DNS attaqués, configurer DNSSEC
FD50, manifestement tu utilises Archlinux, la version de systemd qu'utilise Archlinux n'est pas du tout la même que celle de Ubuntu.
systemd Ubuntu n'utilise aucun fallback DNS servers, de ce que je vois.
Les informations données dans le wiki de Archlinux ne sont pas forcément valables pour Ubuntu.
De plus je persiste dans mon idée que l'appartition des serveurs Google dans ton /etc/resolv.conf vient de la configuration de connman et non de sytemd-resolved.
Et oui c'est vrai les options par défaut de systemd-resolved peuvent être modifiées via /etc/systemd/resolved.conf.
Maxire
Archlinux/Mate + Ubuntu 22.04 + Archlinux/Gnome sur poste de travail
Hors ligne
#50 Le 04/04/2019, à 09:21
- F50
Re : DNS attaqués, configurer DNSSEC
Oui j'utilise Arch et je suppose que les versions systemd divergent mais globalement c'est le même fonctionnement et options, Buntu comme je l'imagine, rajouter une couche pour "faciliter" la prise en mains.
Les infos du wiki Arch sont souvent plus à jours et détaillées que celle de Buntu à part pour les emplacements qui varient selon les distros.
Il y a du avoir un brouillon à la relance des services d'où les serveurs Googoole mais c'est effectivement Connman qui génére resovl.conf car je ne l'ai pas symlinké avec systemd.resolved pour pas que ce fichier soit accaparé par un logiciel exlusive (c'est détaillé dans la doc Arch).
Connman passe par le fichier /etc/systemd/resolved.conf pour générer resolv.conf sans imposer ces DNS proxy, c'est le but et ça fonctionne :
systemd-resolve --status --no-pager
Global
LLMNR setting: yes
MulticastDNS setting: yes
DNSOverTLS setting: no
DNSSEC setting: allow-downgrade
DNSSEC supported: yes
Current DNS Server: 80.67.169.12
DNS Servers: 80.67.169.12
80.67.169.40
2001:910:800::12
2001:910:800::40
DNSSEC NTA: 10.in-addr.arpa
16.172.in-addr.arpa
168.192.in-addr.arpa
17.172.in-addr.arpa
18.172.in-addr.arpa
19.172.in-addr.arpa
20.172.in-addr.arpa
21.172.in-addr.arpa
22.172.in-addr.arpa
23.172.in-addr.arpa
24.172.in-addr.arpa
25.172.in-addr.arpa
26.172.in-addr.arpa
27.172.in-addr.arpa
28.172.in-addr.arpa
29.172.in-addr.arpa
30.172.in-addr.arpa
31.172.in-addr.arpa
corp
d.f.ip6.arpa
home
internal
intranet
lan
local
private
test
Link 2 (wlp6s0)
Current Scopes: LLMNR/IPv4 LLMNR/IPv6
DefaultRoute setting: no
LLMNR setting: yes
MulticastDNS setting: no
DNSOverTLS setting: no
DNSSEC setting: allow-downgrade
DNSSEC supported: yes