Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Dernière révision Les deux révisions suivantes
dnscrypt [Le 06/08/2017, 11:39]
deobs [Modifiez le resolv.conf]
dnscrypt [Le 06/08/2017, 17:44]
deobs
Ligne 31: Ligne 31:
 Pour configurer dnscrypt-proxy,​ procédez comme suit: Pour configurer dnscrypt-proxy,​ procédez comme suit:
  
- <​note important>Un exemple de fichier de configuration,​ ''/​usr/​share/​doc/​dnscrypt-proxy/​examples/​dnscrypt-proxy.conf''​ est fourni mais notez que sytemd outrepasse l'​option ''​LocalAddress'' ​ par un fichier socket</​note>​ + <​note important>​Un fichier de conf bien plus complet est [[https://​raw.githubusercontent.com/​jedisct1/​dnscrypt-proxy/​master/​dnscrypt-proxy.conf|disponible sur github]]\\ 
-<note help>Un fichier de conf bien plus complet est [[https://​raw.githubusercontent.com/​jedisct1/​dnscrypt-proxy/​master/​dnscrypt-proxy.conf|disponible sur github]]</​note>​+:!: Cependant prenez bien garde de bien corriger les différents chemin d'​accé. En effet, ceux-ci non prévus pour Debian/​*Buntu sont sous la forme **/​etc/​dnscrypt-proxy.conf** alors que ce devrait être **/​etc/​dnscrypt-proxy/​dnscrypt-proxy.conf** ou encore **/​usr/​local/​share/​dnscrypt-proxy/​dnscrypt-resolvers.csv** a la place de **/​usr/​share/​dnscrypt-proxy/​dnscrypt-resolvers.csv**\\ 
 +:!: Notez que sytemd outrepasse l'​option ''​**LocalAddress**'' ​ par un fichier socket et doit donc être commentée dans le fichier de conf</​note>​
  
-==== Sélectionnez ​le résolveur ====+==== Sélectionner ​le résolveur ====
  
-Sélectionnez un résolveur à partir de ''/​usr/​share/​dnscrypt-proxy/​dnscrypt-resolvers.csv''​ et [[:​tutoriel:​comment_modifier_un_fichier|modifiez]] **/​etc/​dnscrypt-proxy/​dnscrypt-proxy.conf** avec les [[:​sudo|droits d'​administration]],​ en utilisant un nom abrégé de la première colonne du fichier csv. Par exemple, pour sélectionner ''​dnscrypt.eu-nl''​ comme résolveur:​ +Sélectionnez un résolveur à partir de ''/​usr/​share/​dnscrypt-proxy/​dnscrypt-resolvers.csv''​ et [[:​tutoriel:​comment_modifier_un_fichier|modifiez]] **dnscrypt-proxy.conf** avec les [[:​sudo|droits d'​administration]],​ en utilisant un nom abrégé de la première colonne du fichier csv. Par exemple, pour sélectionner ''​dnscrypt.eu-nl''​ comme résolveur:​ 
-<​file>​ResolverName dnscrypt.eu-nl</​file>​+<​file ​- /​etc/​dnscrypt-proxy/​dnscrypt-proxy.conf>​ResolverName dnscrypt.eu-nl 
 +ResolversList /​usr/​share/​dnscrypt-proxy/​dnscrypt-resolvers.csv 
 +# BlackList domains:"/​etc/​dnscrypt-proxy/​dnscrypt-blacklist-domains.txt"​ 
 +EDNSPayloadSize 1252 
 +Daemonize no 
 +# LocalCache on</​file>​
  
  <​note tip>  <​note tip>
   * Alternativement,​ "​random"​ (sans guillemets) choisit un résolveur aléatoire, accessible sur IPv4, qui ne "​log"​ pas et prend en charge DNSSEC. ​ Pour cela veillez a bien renseigner ''​ResolversList''​ avec ''/​usr/​share/​dnscrypt-proxy/​dnscrypt-resolvers.csv''​ dans **/​etc/​dnscrypt-proxy/​dnscrypt-proxy.conf**   * Alternativement,​ "​random"​ (sans guillemets) choisit un résolveur aléatoire, accessible sur IPv4, qui ne "​log"​ pas et prend en charge DNSSEC. ​ Pour cela veillez a bien renseigner ''​ResolversList''​ avec ''/​usr/​share/​dnscrypt-proxy/​dnscrypt-resolvers.csv''​ dans **/​etc/​dnscrypt-proxy/​dnscrypt-proxy.conf**
   * Une liste potentiellement plus à jour est disponible directement sur [[https://​github.com/​jedisct1/​dnscrypt-proxy/​blob/​master/​dnscrypt-resolvers.csv|la page Github du projet]]   * Une liste potentiellement plus à jour est disponible directement sur [[https://​github.com/​jedisct1/​dnscrypt-proxy/​blob/​master/​dnscrypt-resolvers.csv|la page Github du projet]]
-  * À ce stade, vous pouvez également ajouter un utilisateur non privilégié pour exécuter dnscrypt. Voir [[#Dnscrypt fonctionne avec les privilèges root|Dépannage]]+  * <del>À ce stade, vous pouvez également ajouter un utilisateur non privilégié pour exécuter dnscrypt</​del>​. Voir [[#Dnscrypt fonctionne avec les privilèges root|Dépannage]]
 </​note>​ </​note>​
  
  
-==== Modifiez ​le résolveur du systeme ​==== +==== Modifier ​le résolveur du système ​==== 
-Vous devez maintenant indiquer au systeme ​sur quelle adresse contacter le résolveur de noms de domaine.\\ Pour cela faites un clic droit sur votre applet Network-Manager et cliquez sur éditer la connection. Choisissez votre type de connection, filaire ou sans fil, puis dans l'​onglet IPv4 via le menu déroulant selectionnez //DHCP// __adresse only__.\\ +Vous devez maintenant indiquer au système ​sur quelle adresse contacter le résolveur de noms de domaine.\\ Pour cela faites un clic droit sur votre applet Network-Manager et cliquez sur éditer la connection. Choisissez votre type de connection, filaire ou sans fil, puis dans l'​onglet IPv4 via le menu déroulant selectionnez //DHCP// __adresse only__.\\ 
- Enfin dans la barre d'​adresse ​pour indiquer les serveur DNS entrez ''​**127.0.2.1**''​ puis cliquez sur appliquer.\\+ Enfin dans le champ pour indiquer les serveur DNS entrez ''​**127.0.2.1**''​ puis cliquez sur appliquer.\\
 Le fichier **/​etc/​resolv.conf** doit maintenant afficher: Le fichier **/​etc/​resolv.conf** doit maintenant afficher:
 <​file>​nameserver 127.0.2.1</​file>​ <​file>​nameserver 127.0.2.1</​file>​
  
-Pour les utilisateur ​du bureau gnome le menu  déroulant ne contient pas //DHCP// __adresse only__ selectionnez donc DHCP (automatique) et prenez soin de mettre DNS sur Off avant d'​entrer ''​**127.0.2.1**''​ et d'​appliquer\\+Pour les utilisateurs ​du bureau gnome le menu  déroulant ne contient pas //DHCP// __adresse only__ selectionnez donc DHCP (automatique) et prenez soin de mettre DNS sur Off avant d'​entrer ''​**127.0.2.1**''​ et d'​appliquer\\ 
 + 
 +**:!: Attention**,​ d'​autres programmes peuvent remplacer ce paramètre! [[##​divers_processus_ecrasent_resolvconf|Voir 7.2]]\\ 
 + 
 +=== Ajout de filtres === 
 +Afin de profiter pleinement de Dnscrypt et dépolluer votre navigation sur le web, je vous propose d'​utiliser la liste polyvalente [[https://​download.dnscrypt.org/​blacklists/​domains/​mybase.txt|MyBase]] qui est mise à jour quotidiennement à partir de sources publiques, afin de bloquer les logiciels malveillants,​ les publicités et les traceurs courants. 8-)\\ 
 +Pour cela il vous faut décommenter le paramètre ''​**BlackList domains:/​etc/​dnscrypt-proxy/​dnscrypt-blacklist-domains.txt**''​ (enlever le # en début de ligne)\\ 
 +Ensuite télèchargez puis déplacez la liste au bon endroit avec la commande suivante: 
 +<​code>​wget https://​download.dnscrypt.org/​blacklists/​domains/​mybase.txt && sudo mv mybase.txt /​etc/​dnscrypt-proxy/​dnscrypt-blacklist-domains.txt</​code>​ 
 +Exécutez a nouveau la commande pour mettre a jour la liste !
  
-**:!: Attention**,​ d'​autres programmes peuvent remplacer ce paramètre! [[#​network_manager_et_divers_autres_processus_ecrasentetcresolvconf|Voir 7.2]]\\ 
 ==== Démarrer le service systemd ==== ==== Démarrer le service systemd ====
  ​Enfin,​ démarrez puis activez le service ''​dnscrypt-proxy.service''​ au démarrage de votre machine via [[:​systemd]]:​  ​Enfin,​ démarrez puis activez le service ''​dnscrypt-proxy.service''​ au démarrage de votre machine via [[:​systemd]]:​
Ligne 74: Ligne 88:
 ===== Utilisation avec un DNS local ===== ===== Utilisation avec un DNS local =====
 ==== Local DNS cache configuration ==== ==== Local DNS cache configuration ====
-<​note>​Dnscrypt peut mettre en cache les entrées sans compter sur un autre programme. Assurez-vous que ''​LocalCache on''​ est décommenté dans votre fichier de configuration dnscrypt pour activer cette fonctionnalité.</​note>​ +<​note>​Dnscrypt peut mettre en cache les entrées sans compter sur un autre programme. Assurez-vous que **''​LocalCache on''​** est décommenté dans votre fichier de configuration dnscrypt pour activer cette fonctionnalité.</​note>​ 
-Il est recommandé d'​éxécuter DNSCrypt en tant que redirecteur pour un cache DNS local si vous n'​utilisez pas la fonctionnalité de cache de dnscrypt; sinon, chaque requête fera un aller-retour vers le résolveur en amont. Tout programme de mise en cache DNS local devrait fonctionner. En plus de configurer dnscrypt-proxy,​ vous devez configurer votre programme de cache DNS local.+Si vous n'​utilisez pas la fonctionnalité de cache de dnscrypt il est recommandé d'​éxécuter DNSCrypt en tant que redirecteur pour un cache DNS local ; sinon, chaque requête fera un aller-retour vers le résolveur en amont. Tout programme de mise en cache DNS local devrait fonctionner. En plus de configurer dnscrypt-proxy,​ vous devez configurer votre programme de cache DNS local.
  
 ==== Changer le port ==== ==== Changer le port ====
Ligne 106: Ligne 120:
 Configurez dnsmasq en tant que [[#​configuration_du_cache_dns|cache DNS local]]. La configuration de base pour fonctionner avec DNSCrypt: Configurez dnsmasq en tant que [[#​configuration_du_cache_dns|cache DNS local]]. La configuration de base pour fonctionner avec DNSCrypt:
 <file - /​etc/​dnsmasq.conf>​no-resolv <file - /​etc/​dnsmasq.conf>​no-resolv
-server=127.0.0.1#5353+server=127.0.2.1#5353
 listen-address=127.0.0.1</​file>​ listen-address=127.0.0.1</​file>​
 Si vous avez configuré DNSCrypt pour utiliser un résolveur avec la validation DNSSEC activée, assurez-vous de l'​activer également dans **/​etc/​dnsmasq.conf**:​ Si vous avez configuré DNSCrypt pour utiliser un résolveur avec la validation DNSSEC activée, assurez-vous de l'​activer également dans **/​etc/​dnsmasq.conf**:​
Ligne 142: Ligne 156:
 Cette deuxième option est utile lors de l'​utilisation d'un serveur de mise en cache comme Unbound et est préférable,​ puisque l'​unité n'est pas exécutée en tant que root en premier lieu. Si vous avez changé le port vers un non-privilégié (par exemple 5353), ''​CapabilityBoundingSet = CAP_NET_BIND_SERVICE''​ n'est pas nécessaire. Cette deuxième option est utile lors de l'​utilisation d'un serveur de mise en cache comme Unbound et est préférable,​ puisque l'​unité n'est pas exécutée en tant que root en premier lieu. Si vous avez changé le port vers un non-privilégié (par exemple 5353), ''​CapabilityBoundingSet = CAP_NET_BIND_SERVICE''​ n'est pas nécessaire.
  
-==== Network Manager et divers autres ​processus écrasent ​/etc/resolv.conf ====+==== Divers ​processus écrasent resolv.conf ====
 Il s'agit généralement d'un comportement souhaitable,​ mais parfois, les paramètres DNS doivent être définis manuellement (par exemple lors de l'​utilisation d'une adresse IP statique). Il existe plusieurs façons d'y parvenir. Il s'agit généralement d'un comportement souhaitable,​ mais parfois, les paramètres DNS doivent être définis manuellement (par exemple lors de l'​utilisation d'une adresse IP statique). Il existe plusieurs façons d'y parvenir.
 === Avec Network Manager === === Avec Network Manager ===
-Pour empêcher NetworkManager de modifier **/​etc/​resolv.conf**,​ [[:​tutoriel:​comment_modifier_un_fichier|modifiez]] **/​etc/​NetworkManager/​NetworkManager.conf** ​avec les [[:​sudo|droits d'​administration]] ​et ajoutez ce qui suit dans la section [main]:+NetworkManager enregistre ses paramètres dans **/​etc/​NetworkManager/​system-connections/​nom-de-la-connection**. 
 +Example pour une connection filaire:  
 +<file - /​etc/​NetworkManager/​system-connections/​Wired connection 1>​[802-3-ethernet] 
 +duplex=full 
 +mac-address=XX:​XX:​XX:​XX:​XX:​XX 
 + 
 +[connection] 
 +id=Wired connection 1 
 +uuid=xxx-xxxxxx-xxxxxx-xxxxxx-xxx 
 +type=802-3-ethernet 
 +timestamp=1385213042 
 + 
 +[ipv6] 
 +method=auto 
 + 
 +[ipv4] 
 +method=auto 
 +dns=127.0.2.1;​ 
 +ignore-auto-dns=true</​file>​ 
 +Cette 1ère solution est a privilégier. 
 + 
 +Alternativement,​ pour empêcher NetworkManager de modifier **/​etc/​resolv.conf**,​ [[:​tutoriel:​comment_modifier_un_fichier|Modifiez]] **/​etc/​NetworkManager/​NetworkManager.conf** et ajoutez ce qui suit dans la section [main]:
 <​file>​dns=none</​file>​ <​file>​dns=none</​file>​
 ''/​etc/​resolv.conf''​ peut être un lien symbolique brisé que vous devrez supprimer après avoir fait cela. Ensuite, créez simplement un nouveau fichier ''/​etc/​resolv.conf''​. ''/​etc/​resolv.conf''​ peut être un lien symbolique brisé que vous devrez supprimer après avoir fait cela. Ensuite, créez simplement un nouveau fichier ''/​etc/​resolv.conf''​.
 +
 +=== Avec Resolvconf ===
 +Si le programme resolvconf est installé, vous ne devez pas modifier le fichier de configuration resolv.conf manuellement car il sera modifié dynamiquement par les programmes du système. Pour définir manuellement les serveurs de noms (comme avec une interface statique), ajoutez une ligne comme suit dans le fichier de configuration d'​interfaces dans **/​etc/​network/​interfaces**:​
 +<​file>​dns-nameservers 127.0.2.1</​file>​
 +
 +=== Avec DHCP Client ===
 +Exemple: dhclient3 utilise **/​etc/​dhcp/​dhclient.conf**. Le réglage que vous voulez est
 +<​file>​supersede domain-name-servers 127.0.2.1;</​file>​
 +ou peut-être
 +<​file>​prepend domain-name-servers 127.0.2.1;</​file>​
 +Prenez garde de bien fermer la ligne avec un ;
 +Voir la page de manuel dhclient.conf (5) pour plus de détails.
  
 === Protection contre l'​écriture === === Protection contre l'​écriture ===
  • dnscrypt.txt
  • Dernière modification: Le 12/02/2018, 08:03
  • par 103.254.244.134