Re: [semi-HS] Conseil sur l'exploitation d'un serveur DNS
Le 19846ième jour après Epoch,
Olivier écrivait:
> Bonjour,
>
> J'envisage de mettre en place un serveur DNS dont le rôle serait de
> résoudre des requêtes sur un de mes domaines.
Il y a des chances que ton registrar te propose son propre DNS. Pourquoi
ne pas l'utiliser ?
> Imaginons que je possède le domaine masociete.com
> Le serveur recevra des requètes d'Internet sur des sous-domaines comme
> client12345.masociete.com en provenance d'appareils (téléphones IP)
> qui peuvent assez rustiques au niveau réseau.
>
> Mes exigences sont :
>
> 1- je puisse "facilement" ajouter-retirer-modifier des sous-domaines
Tout dépends de ce que tu appelles "facilement", mais par exemple le
registrar GANDI propose des API pour gérer tes enregistrements.
>
> 2- personne ne puisse énumérer mes sous-domaines ie savoir que les
> sous-domaines client00001.masociete.com et client00002.masociete.com
> existent et le les sous-domaine client00003.masociete.com n'existe pas
> (encore),
C'est dépendant de ce que tu vas choisir comme outil, mais en général
ils possèdent un paramètre qui va restreindre qui a le droit de faire un
transfert de données.
> 3- le serveur soit protégée-protégeable contre les attaques par Déni
> de Service
Tu peux difficilement te battre contre une armée de 2^32 (ou plus) de
machines zombies, mais des services comme CloudFlare vont pouvoir
répondre à ce besoin. Moyennant finances bien sûr. Mais le déni de
service n'a pas forcément de rapport avec le type de serveur DNS que tu
vas choisir.
> Mes questions :
>
> 1. Une VM (sous Debian) louée chez un prestataire vous parait-elle
> suffisante ?
Carrément. C'est même presque overkill.
> 2. Quel logiciel recommandez-vous ?
Bind9 ? Un gros standard bien stable.
> 3. Quel retour d'expérience sur l'exploitation d'un serveur DNS
> "ouvert aux 4 vents" ? Quels problèmes de sécurité rencontre-t-on ?
J'opère mon DNS depuis bientôt 25 ans (Ouch !) et je n'ai jamais eu de
soucis majeurs avec. La migration bind8 vers bind9 a été un peu
rugueuse, mais j'ai survécu ;)
Je pense que la question majeure est: "Ai-je vraiment besoin d'opérer
moi-même mon DNS?"
Mes 2¢
Reply to: