Re: [semi-HS] Conseil sur l'exploitation d'un serveur DNS

To: debian-user-french@lists.debian.org
Subject: Re: [semi-HS] Conseil sur l'exploitation d'un serveur DNS
From: François TOURDE <fra-duf-no-spam@tourde.org>
Date: Sat, 04 May 2024 23:02:47 +0200
Message-id: <[🔎] 87edahuw7c.fsf@tourde.org>
In-reply-to: <[🔎] CAPeT9jiRhaZdUXioXHs5_BsEYOm7O9cQNDS_eSA9t1HBs7+OOw@mail.gmail.com> (Olivier's message of "Fri, 3 May 2024 17:37:36 +0200")
References: <[🔎] CAPeT9jiRhaZdUXioXHs5_BsEYOm7O9cQNDS_eSA9t1HBs7+OOw@mail.gmail.com>

Le 19846ième jour après Epoch,
Olivier écrivait:

> Bonjour,
>
> J'envisage de mettre en place un serveur DNS dont le rôle serait de
> résoudre des requêtes sur un de mes domaines.

Il y a des chances que ton registrar te propose son propre DNS. Pourquoi
ne pas l'utiliser ?

> Imaginons que je possède le domaine masociete.com
> Le serveur recevra des requètes d'Internet sur des sous-domaines comme
> client12345.masociete.com en provenance d'appareils (téléphones IP)
> qui peuvent assez rustiques au niveau réseau.
>
> Mes exigences sont :
>
> 1- je puisse "facilement" ajouter-retirer-modifier des sous-domaines

Tout dépends de ce que tu appelles "facilement", mais par exemple le
registrar GANDI propose des API pour gérer tes enregistrements.
>
> 2- personne ne puisse énumérer mes sous-domaines ie savoir que les
> sous-domaines client00001.masociete.com et client00002.masociete.com
> existent et le les sous-domaine client00003.masociete.com n'existe pas
> (encore),

C'est dépendant de ce que tu vas choisir comme outil, mais en général
ils possèdent un paramètre qui va restreindre qui a le droit de faire un
transfert de données.

> 3- le serveur soit protégée-protégeable contre les attaques par Déni
> de Service

Tu peux difficilement te battre contre une armée de 2^32 (ou plus) de
machines zombies, mais des services comme CloudFlare vont pouvoir
répondre à ce besoin. Moyennant finances bien sûr. Mais le déni de
service n'a pas forcément de rapport avec le type de serveur DNS que tu
vas choisir.

> Mes questions :
>
> 1. Une VM (sous Debian) louée chez un prestataire vous parait-elle
> suffisante ?

Carrément. C'est même presque overkill.

> 2. Quel logiciel recommandez-vous ?

Bind9 ? Un gros standard bien stable.

> 3. Quel retour d'expérience sur l'exploitation d'un serveur DNS
> "ouvert aux 4 vents" ? Quels problèmes de sécurité rencontre-t-on ?

J'opère mon DNS depuis bientôt 25 ans (Ouch !) et je n'ai jamais eu de
soucis majeurs avec. La migration bind8 vers bind9 a été un peu
rugueuse, mais j'ai survécu ;)

Je pense que la question majeure est: "Ai-je vraiment besoin d'opérer
moi-même mon DNS?"

Mes 2¢

Reply to:

Follow-Ups:
- Re: [semi-HS] Conseil sur l'exploitation d'un serveur DNS
  - From: BERTRAND Joël <joel.bertrand@systella.fr>

References:
- [semi-HS] Conseil sur l'exploitation d'un serveur DNS
  - From: Olivier <oza.4h07@gmail.com>

Prev by Date: Re: [semi-HS] Conseil sur l'exploitation d'un serveur DNS
Next by Date: Firefox : champs déjà mémorisés
Previous by thread: Re: [semi-HS] Conseil sur l'exploitation d'un serveur DNS
Next by thread: Re: [semi-HS] Conseil sur l'exploitation d'un serveur DNS
Index(es):
- Date
- Thread