O=C3=B9 est mon erreur?
C'est mon premier Bind. Soyez indulgents SVP...
Pour masquer la version j'ai compris qu'il suffit d'ajouter une ligne
dans le bloc options.
Selon les auteurs il faut modifier l'un de ces fichiers :
/etc/bind/named.conf
/etc/bind/named.conf.options
/etc/bind/named.options
Les syntaxes varient :
version "pipo";
version "<pipo>";
Selon le man named.conf la syntaxe est :
version ( quoted_string | none );
Pourtant cette syntaxe interdit un red=C3=A9marrage de Bind9.
Sur une Squeeze toute fra=C3=AEche, j'ai essay=C3=A9 plusieurs possibilit=
=C3=A9s relev=C3=A9es=20
sur le net mais sans succ=C3=A8s :
# apt-get install bind9 bind9-doc
Avant modif :
# named-checkconf -v =
=20
9.7.3
Apr=C3=A8s que le fichier de config ait =C3=A9t=C3=A9 modifi=C3=A9 :
# cat /etc/bind/named.conf.options
options {
directory "/var/cache/bind";
// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113
// If your ISP provided one or more IP addresses for stable=20
// nameservers, you probably want to use them as forwarders. =20
// Uncomment the following block, and insert the addresses replacin=
g=20
// the all-0's placeholder.
// forwarders {
// 0.0.0.0;
// };
// Masquage de la version Bind9
version "pipo_none";
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
};
Red=C3=A9marr=C3=A9 le service ( *** ) :
# /etc/init.d/bind9 stop
Stopping domain name service...: bind9 waiting for pid 32285 to die.
# /etc/init.d/bind9 start
Starting domain name service...: bind9.
R=C3=A9sultat : la version est inchang=C3=A9e :
# named-checkconf -v =
=20
9.7.3
# dig @127.0.0.1
; <<>> DiG 9.7.3 <<>> @127.0.0.1
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41388
;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 14
[...]
( *** )
- Le named.conf inclu bien le named.conf.options :
// This is the primary configuration file for the BIND DNS server named.
//
// Please read /usr/share/doc/bind9/README.Debian.gz for information on the
// structure of BIND configuration files in Debian, *BEFORE* you customize
// this configuration file.
//
// If you are just adding zones, please do that in /etc/bind/named.conf.loc=
al
include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
include "/etc/bind/named.conf.default-zones";
- Dans le syslog la seule erreur qui subsiste sur les clefs non trouv=C3=A9=
es
ne me semble pas li=C3=A9e :
Apr 11 00:49:58 mach01-mail named[32285]: received control channel command =
'stop -p'
Apr 11 00:49:58 mach01-mail named[32285]: shutting down: flushing changes
Apr 11 00:49:58 mach01-mail named[32285]: stopping command channel on 127.0=
.0.1#953
Apr 11 00:49:58 mach01-mail named[32285]: stopping command channel on ::1#9=
53
Apr 11 00:49:58 mach01-mail named[32285]: no longer listening on ::#53
Apr 11 00:49:58 mach01-mail named[32285]: no longer listening on 127.0.0.1#=
53
Apr 11 00:49:58 mach01-mail named[32285]: no longer listening on 192.168.1.=
101#53
Apr 11 00:49:58 mach01-mail named[32285]: exiting
Apr 11 00:50:13 mach01-mail named[32318]: starting BIND 9.7.3 -u bind
Apr 11 00:50:13 mach01-mail named[32318]: built with '--prefix=3D/usr' '--m=
andir=3D/usr/share/man' '--infodir=3D/usr/share/info' '--sysconfdir=3D/etc/=
bind' '--localstatedir=3D/var' '--enable-threads' '--enable-largefile' '--w=
ith-libtool' '--enable-shared'
'--enable-static' '--with-openssl=3D/usr' '--with-gssapi=3D/usr' '--with-gn=
u-ld' '--with-dlz-postgres=3Dno' '--with-dlz-mysql=3Dno' '--with-dlz-bdb=3D=
yes' '--with-dlz-filesystem=3Dyes' '--with-dlz-ldap=3Dyes' '--with-dlz-stub=
=3Dyes' '--with-geoip=3D/usr'
'--enable-ipv6' 'CFLAGS=3D-fno-strict-aliasing -DDIG_SIGCHASE -O2' 'LDFLAGS=
=3D' 'CPPFLAGS=3D'
Apr 11 00:50:13 mach01-mail named[32318]: adjusted limit on open files from=
1024 to 1048576
Apr 11 00:50:13 mach01-mail named[32318]: found 2 CPUs, using 2 worker thre=
ads
Apr 11 00:50:13 mach01-mail named[32318]: using up to 4096 sockets
Apr 11 00:50:13 mach01-mail named[32318]: loading configuration from '/etc/=
bind/named.conf'
Apr 11 00:50:13 mach01-mail named[32318]: reading built-in trusted keys fro=
m file '/etc/bind/bind.keys'
Apr 11 00:50:13 mach01-mail named[32318]: using default UDP/IPv4 port range=
: [1024, 65535]
Apr 11 00:50:13 mach01-mail named[32318]: using default UDP/IPv6 port range=
: [1024, 65535]
Apr 11 00:50:13 mach01-mail named[32318]: listening on IPv6 interfaces, por=
t 53
Apr 11 00:50:13 mach01-mail named[32318]: listening on IPv4 interface lo, 1=
27.0.0.1#53
Apr 11 00:50:13 mach01-mail named[32318]: listening on IPv4 interface eth0,=
192.168.1.101#53
Apr 11 00:50:13 mach01-mail named[32318]: generating session key for dynami=
c DNS
Apr 11 00:50:13 mach01-mail named[32318]: set up managed keys zone for view=
_default, file 'managed-keys.bind'
Apr 11 00:50:13 mach01-mail named[32318]: automatic empty zone: 254.169.IN-=
ADDR.ARPA
Apr 11 00:50:13 mach01-mail named[32318]: automatic empty zone: 2.0.192.IN-=
ADDR.ARPA
Apr 11 00:50:13 mach01-mail named[32318]: automatic empty zone: 100.51.198.=
IN-ADDR.ARPA
Apr 11 00:50:13 mach01-mail named[32318]: automatic empty zone: 113.0.203.I=
N-ADDR.ARPA
Apr 11 00:50:13 mach01-mail named[32318]: automatic empty zone: 255.255.255=
.255.IN-ADDR.ARPA
Apr 11 00:50:13 mach01-mail named[32318]: automatic empty zone: 0.0.0.0.0.0=
.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA
Apr 11 00:50:13 mach01-mail named[32318]: automatic empty zone: 1.0.0.0.0.0=
.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA
Apr 11 00:50:13 mach01-mail named[32318]: automatic empty zone: D.F.IP6.ARPA
Apr 11 00:50:13 mach01-mail named[32318]: automatic empty zone: 8.E.F.IP6.A=
RPA
Apr 11 00:50:13 mach01-mail named[32318]: automatic empty zone: 9.E.F.IP6.A=
RPA
Apr 11 00:50:13 mach01-mail named[32318]: automatic empty zone: A.E.F.IP6.A=
RPA
Apr 11 00:50:13 mach01-mail named[32318]: automatic empty zone: B.E.F.IP6.A=
RPA
Apr 11 00:50:13 mach01-mail named[32318]: automatic empty zone: 8.B.D.0.1.0=
.0.2.IP6.ARPA
Apr 11 00:50:13 mach01-mail named[32318]: command channel listening on 127.=
0.0.1#953
Apr 11 00:50:13 mach01-mail named[32318]: command channel listening on ::1#=
953
Apr 11 00:50:13 mach01-mail named[32318]: zone 0.in-addr.arpa/IN: loaded se=
rial 1
Apr 11 00:50:13 mach01-mail named[32318]: zone 127.in-addr.arpa/IN: loaded =
serial 1
Apr 11 00:50:13 mach01-mail named[32318]: zone 255.in-addr.arpa/IN: loaded =
serial 1
Apr 11 00:50:13 mach01-mail named[32318]: zone localhost/IN: loaded serial 2
Apr 11 00:50:13 mach01-mail named[32318]: managed-keys-zone ./IN: loading f=
rom master file managed-keys.bind failed: file not found
Apr 11 00:50:13 mach01-mail named[32318]: managed-keys-zone ./IN: loaded se=
rial 0
Apr 11 00:50:13 mach01-mail named[32318]: running
O=C3=B9 est mon erreur?
--=20
Alain Vaugham
Clef GPG : 0xD26D18BC
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20120411013049.21393b3d@mach07.localdomain
Tu devrais voir la chaîne que tu as spécifiée dans named.conf.options. C'est cette information de version qui est accessible au reste du monde, pas la valeur retournée par named-checkconf.
Tu devrais voir la chaîne que tu as spécifiée dans named.conf.options.
C'est cette information de version qui est accessible au reste du monde,
pas la valeur retournée par named-checkconf.
P.-A.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4F853654.2030907@lemurien.org
Tu devrais voir la chaîne que tu as spécifiée dans named.conf.options. C'est cette information de version qui est accessible au reste du monde, pas la valeur retournée par named-checkconf.
Pour l'instant il n'est pas encore ouvert au reste du monde.
J'ai tout compris.
Merci.
--
Alain Vaugham
Clef GPG : 0xD26D18BC
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20120411111207.466eb93c@mach07.localdomain
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20120411164741.GA7029@sources.org
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20120412134944.3eb5d150@mach07.localdomain
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Pierre-Arnaud
Le 12/04/2012 13:49, Alain Vaugham a écrit :
2) Comme Apache est très locace quand à la version Debian sur laquelle il tourne, ce n'est pas difficile de prévoir la version du Bind9 qui vient avec à moins qu'on ait volontairement installé une autre version et qu'on ait pris beaucoup de précautions pour masquer ce qui est masquable par ailleurs.
La plupart du temps, les serveurs de noms faisant autorité sur une zone donnée ne tournent pas sur les mêmes systèmes que d'éventuels serveurs apache pointés par les hôtes de la zone en question (à part dans le cas de micro infrastructures style auto-hébergement).
Et puis y'a pas que http et debian dans la vie ;p
3) Même avec une version masquée, un dig @ip CH TXT version.bind retoure cette info dès sa première ligne : ;<<>> DiG 9.7.3<<>> @ip......
C'est la version du dig installé sur la machine depuis laquelle tu fais le test, pas celle du serveur de noms.
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Le 12/04/2012 13:49, Alain Vaugham a écrit :
2)
Comme Apache est très locace quand à la version Debian sur laquelle il tourne,
ce n'est pas difficile de prévoir la version du Bind9 qui vient avec à moins
qu'on ait volontairement installé une autre version et qu'on ait pris beaucoup
de précautions pour masquer ce qui est masquable par ailleurs.
La plupart du temps, les serveurs de noms faisant autorité sur une zone
donnée ne tournent pas sur les mêmes systèmes que d'éventuels serveurs
apache pointés par les hôtes de la zone en question (à part dans le cas
de micro infrastructures style auto-hébergement).
Et puis y'a pas que http et debian dans la vie ;p
3)
Même avec une version masquée, un dig @ip CH TXT version.bind retoure
cette info dès sa première ligne :
;<<>> DiG 9.7.3<<>> @ip......
C'est la version du dig installé sur la machine depuis laquelle tu fais
le test, pas celle du serveur de noms.
P.-A.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4F86C83C.6040106@lemurien.org
2) Comme Apache est très locace quand à la version Debian sur laquelle il tourne, ce n'est pas difficile de prévoir la version du Bind9 qui vient avec à moins qu'on ait volontairement installé une autre version et qu'on ait pris beaucoup de précautions pour masquer ce qui est masquable par ailleurs.
La plupart du temps, les serveurs de noms faisant autorité sur une zone donnée ne tournent pas sur les mêmes systèmes que d'éventuels serveurs apache pointés par les hôtes de la zone en question (à part dans le cas de micro infrastructures style auto-hébergement).
Et puis y'a pas que http et debian dans la vie ;p
3) Même avec une version masquée, un dig @ip CH TXT version.bind retoure cette info dès sa première ligne : ;<<>> DiG 9.7.3<<>> @ip......
C'est la version du dig installé sur la machine depuis laquelle tu fais le test, pas celle du serveur de noms.