Journal Verisign & Bind, pour Debian

Posté par  (site web personnel) .
Étiquettes :
0
18
sept.
2003
Salut mon journal,

pour ceux que ca intéresse :

Package bind 'antiverisign' compliant ;)

- Backport de la version testing 9.2.2 (la woody est la 9.2.1)
- Patch de ISC pour contrer le wildcard A de Verisign & consorts.

Je vous conseille d'ajouter les lignes suivantes dans votre named.conf :
(en utilisant ce bind9 patché ... ca ne marche pas avec le bind9 woody standard)

zone "cc" { type delegation-only; };
zone "cx" { type delegation-only; };
zone "io" { type delegation-only; };
zone "mp" { type delegation-only; };
zone "museum" { type delegation-only; };
zone "nu" { type delegation-only; };
zone "ph" { type delegation-only; };
zone "td" { type delegation-only; };
zone "tk" { type delegation-only; };
zone "tv" { type delegation-only; };
zone "ws" { type delegation-only; };
zone "com" { type delegation-only; };
zone "net" { type delegation-only; };

mode d'emploi :

1. aller sur le site AlternC.org sur le lien "telechargements"
2. ajouter les lignes dans votre sources.list
3. apt-get update
4. apt-get install bind9
5. CONSERVER votre fichier de conf existant, ca marche très bien
6. Ajouter les lignes ci-dessus dans /etc/bind/named.conf
7. /etc/init.d/bind reload
8. Enlever les lignes (ou les # commenter) dans /etc/apt/sources.list
9. apt-get update
10. profitez-en pour mettre à jour votre debian : openssh est en faille

--

PS : résultat APRES :

sud:/etc/bind# dig A totopoipoi.com

; <<>> DiG 9.2.1 <<>> A totopoipoi.com
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 55140
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;totopoipoi.com. IN A


AVANT :

brassens:/data2/b# dig A totopoipoi.com

; <<>> DiG 9.2.1 <<>> A totopoipoi.com
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12969
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 13, ADDITIONAL: 0

;; QUESTION SECTION:
;totopoipoi.com. IN A

;; ANSWER SECTION:
totopoipoi.com. 900 IN A 64.94.110.11

  • # Re: Verisign & Bind, pour Debian

    Posté par  . Évalué à 1.

    Ah tres bien tres interessant et pour etre sur de taper sur son serveur Bind :

    dig @localhost A totopoipoi.com


    et en changeant localhost par l'ip du DNS de votre provider on peut voir leur choix sur ce sujet.

    • [^] # Re: Verisign & Bind, pour Debian

      Posté par  . Évalué à 1.

      La connerie de Verisign m'aura permis de mettre à jour mon bind (en fait j'utilise un script qui installe Bind en chroot) mais je poste ici quand meme parce que je suis sous Debian ;-)

      Donc (j'y arrive) :

      Ne pas enabled les forwarders...


      // forwarders {
      // 62.4.17.69;
      // 62.4.17.70;
      // };

      (chez Nerim)

      sinon la modif passe pas, forcement...

  • # Re: Verisign & Bind, pour Debian

    Posté par  . Évalué à 1.

    Euh, t'es sur que c'est bien un backport pour woody ?

    # apt-get install bind9
    [...]
    Sorry, but the following packages have unmet dependencies:
    bind9: Depends: libc6 (>= 2.3.1-1) but 2.2.5-11.5 is to be installed
    Depends: libdns10 but it is not going to be installed
    Depends: libisccfg1 but it is not going to be installed
    E: Sorry, broken packages

    Et effectivement la libc6 de Woody est bien la 2.2.5 : http://packages.debian.org/cgi-bin/search_packages.pl?keywords=libc(...)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.