Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
dnscrypt [Le 01/08/2017, 18:25] deobs [Démarrer le service systemd] |
dnscrypt [Le 11/09/2022, 11:26] (Version actuelle) moths-art Suppression des espaces en fin de ligne (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892) |
||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| - | {{tag>Xenial réseau}} | + | {{tag>Xenial réseau internet sécurité}} |
| ---- | ---- | ||
| + | {{ :dnscrypt.png?nolink&200|}} | ||
| ====== DNSCrypt ====== | ====== DNSCrypt ====== | ||
| - | {{:dnscrypt.png?nolink&200|}} DNSCrypt est un protocole qui authentifie les communications entre un client DNS et un résolveur DNS. Cela empêche la falsification de DNS. Il utilise des signatures cryptographiques pour vérifier que les réponses proviennent du résolveur DNS choisi et n'ont pas été falsifiées. | + | DNSCrypt est un protocole qui authentifie les communications entre un client DNS et un résolveur [[wpfr>DNS]]. Cela empêche la falsification de DNS. Il utilise des signatures cryptographiques pour vérifier que les réponses proviennent du résolveur DNS choisi et n'ont pas été falsifiées. |
| C'est une spécification ouverte, avec des implémentations de référence gratuites et opensource, et elle n'est affiliée à aucune entreprise ni organisation. | C'est une spécification ouverte, avec des implémentations de référence gratuites et opensource, et elle n'est affiliée à aucune entreprise ni organisation. | ||
| Ligne 15: | Ligne 16: | ||
| ===== Installation ===== | ===== Installation ===== | ||
| - | * installez le paquet [[apt>dnscrypt-proxy]] | + | [[:tutoriel:comment_installer_un_paquet|Installez le paquet]] [[apt>dnscrypt-proxy]] |
| - | <note>Optionnellement [[apt>dnscrypt-proxy-plugins]], donne beaucoup de contrôle sur le trafic DNS local: | + | <note> |
| - | + | Optionnellement [[apt>dnscrypt-proxy-plugins]], donne beaucoup de contrôle sur le trafic DNS local: | |
| - | * Passez en revue le trafic DNS provenant de votre réseau en temps réel et détectez les hôtes et applications compromises. | + | * Passer en revue le trafic DNS provenant de votre réseau en temps réel et détecter les hôtes et applications compromises. |
| - | + | * Bloque localement les publicités, les trackers, les logiciels malveillants, les spams et tout site Web dont les noms de domaine ou les adresses IP correspondent à un ensemble de règles que vous définissez. | |
| - | * Bloque localement les publicités, les trackers, les logiciels malveillants, les spams et tout site Web dont les noms de domaine ou les adresses IP correspondent à un ensemble de règles que vous définissez. | + | * Empêcher que les requêtes concernant les zones locales soient divulguées. |
| - | + | * Réduire la latence en cas de mise en cache des réponses et éviter de demander des adresses IPv6 sur les réseaux IPv4 uniquement. | |
| - | * Empêcher que les requêtes concernant les zones locales soient divulguées. | + | * Forcer le trafic à utiliser TCP, pour l'acheminer via des tunnels TCP uniquement ou Tor. 8-) |
| - | + | </note> | |
| - | * Réduire la latence en cas de mise en cache des réponses et éviter de demander des adresses IPv6 sur les réseaux IPv4 uniquement. | + | |
| - | + | ||
| - | * Forcer le trafic à utiliser TCP, pour l'acheminer via des tunnels TCP uniquement ou Tor. 8-)</note> | + | |
| ===== Configuration ===== | ===== Configuration ===== | ||
| Ligne 33: | Ligne 31: | ||
| Pour configurer dnscrypt-proxy, procédez comme suit: | Pour configurer dnscrypt-proxy, procédez comme suit: | ||
| - | <note important>Un exemple de fichier de configuration, /etc/dnscrypt-proxy.conf.example est fourni mais notez que sytemd outrepasse l'option ''LocalAddress'' par un fichier socket</note> | + | <note important>Un fichier de conf bien plus complet est [[https://raw.githubusercontent.com/jedisct1/dnscrypt-proxy/master/dnscrypt-proxy.conf|disponible sur github]]\\ |
| + | :!: Cependant prenez bien garde de bien corriger les différents chemin d'accès. En effet, ceux-ci non prévus pour Debian/Ubuntu (et dérivés) sont sous la forme **/etc/dnscrypt-proxy.conf** alors que ce devrait être **/etc/dnscrypt-proxy/dnscrypt-proxy.conf** ou encore **/usr/local/share/dnscrypt-proxy/dnscrypt-resolvers.csv** a la place de **/usr/share/dnscrypt-proxy/dnscrypt-resolvers.csv**\\ | ||
| + | :!: Notez que sytemd outrepasse l'option ''**LocalAddress**'' par un fichier socket et doit donc être commentée dans le fichier de conf</note> | ||
| - | ==== Sélectionnez le résolveur ==== | + | ==== Sélectionner le résolveur ==== |
| - | Sélectionnez un résolveur à partir de ''/usr/share/dnscrypt-proxy/dnscrypt-resolvers.csv'' et modifiez ''/etc/dnscrypt-proxy.conf'', en utilisant un nom abrégé de la première colonne du fichier csv. Par exemple, pour sélectionner ''dnscrypt.eu-nl'' comme résolveur: | + | Sélectionnez un résolveur à partir de ''/usr/share/dnscrypt-proxy/dnscrypt-resolvers.csv'' et [[:tutoriel:comment_modifier_un_fichier|modifiez]] **dnscrypt-proxy.conf** avec les [[:sudo|droits d'administration]], en utilisant un nom abrégé de la première colonne du fichier csv. Par exemple, pour sélectionner ''dnscrypt.eu-nl'' comme résolveur: |
| - | <file>ResolverName dnscrypt.eu-nl</file> | + | <file - /etc/dnscrypt-proxy/dnscrypt-proxy.conf>ResolverName dnscrypt.eu-nl |
| + | ResolversList /usr/share/dnscrypt-proxy/dnscrypt-resolvers.csv | ||
| + | # BlackList domains:"/etc/dnscrypt-proxy/dnscrypt-blacklist-domains.txt" | ||
| + | EDNSPayloadSize 1252 | ||
| + | Daemonize no | ||
| + | # LocalCache on</file> | ||
| - | <note tip>* Une liste potentiellement plus à jour est disponible directement sur [[https://github.com/jedisct1/dnscrypt-proxy/blob/master/dnscrypt-resolvers.csv|la page Github du projet]] | + | <note tip> |
| + | * Alternativement, "random" (sans guillemets) choisit un résolveur aléatoire, accessible sur IPv4, qui ne "log" pas et prend en charge DNSSEC. Pour cela veillez a bien renseigner ''ResolversList'' avec ''/usr/share/dnscrypt-proxy/dnscrypt-resolvers.csv'' dans **/etc/dnscrypt-proxy/dnscrypt-proxy.conf** | ||
| + | * Une liste potentiellement plus à jour est disponible directement sur [[https://github.com/jedisct1/dnscrypt-proxy/blob/master/dnscrypt-resolvers.csv|la page Github du projet]] | ||
| + | * <del>À ce stade, vous pouvez également ajouter un utilisateur non privilégié pour exécuter dnscrypt</del>. Voir [[#Dnscrypt fonctionne avec les privilèges root|Dépannage]] | ||
| + | </note> | ||
| - | * À ce stade, vous pouvez également ajouter un utilisateur non privilégié pour exécuter dnscrypt. Voir [[https://doc.ubuntu-fr.org/dnscrypt?do=edit#diagnostic_des_anomalies|Dépannage]]</note> | ||
| + | ==== Modifier le résolveur du système ==== | ||
| + | Vous devez maintenant indiquer au système sur quelle adresse contacter le résolveur de noms de domaine.\\ Pour cela faites un clic droit sur votre applet Network-Manager et cliquez sur éditer la connection. Choisissez votre type de connection, filaire ou sans fil, puis dans l'onglet IPv4 via le menu déroulant selectionnez //DHCP// __adresse only__.\\ | ||
| + | Enfin dans le champ pour indiquer les serveur DNS entrez ''**127.0.2.1**'' puis cliquez sur appliquer.\\ | ||
| + | Le fichier **/etc/resolv.conf** doit maintenant afficher: | ||
| + | <file>nameserver 127.0.2.1</file> | ||
| - | ==== Modifiez le resolv.conf ==== | + | Pour les utilisateurs du bureau gnome le menu déroulant ne contient pas //DHCP// __adresse only__ selectionnez donc DHCP (automatique) et prenez soin de mettre DNS sur Off avant d'entrer ''**127.0.2.1**'' et d'appliquer\\ |
| - | Après avoir sélectionné un résolveur dnscrypt, modifiez le fichier resolv.conf et remplacez l'ensemble actuel d'adresses de résolveur par une adresse pour localhost: | + | **:!: Attention**, d'autres programmes peuvent remplacer ce paramètre! [[##divers_processus_ecrasent_resolvconf|Voir 7.2]]\\ |
| - | <file>nameserver 127.0.0.1</file> | + | |
| - | attention, d'autres programmes peuvent remplacer ce paramètre ! [[https://doc.ubuntu-fr.org/dnscrypt#network_manager_et_divers_autres_processus_ecrasentetcresolvconf|Voir 6.2]] | + | |
| - | ==== Démarrer le service systemd ==== | + | === Ajout de filtres === |
| + | Afin de profiter pleinement de Dnscrypt et dépolluer votre navigation sur le web, je vous propose d'utiliser la liste polyvalente [[https://download.dnscrypt.info/blacklists/domains/mybase.txt|MyBase]] qui est mise à jour quotidiennement à partir de sources publiques, afin de bloquer les logiciels malveillants, les publicités et les traceurs courants. 8-)\\ | ||
| + | Pour cela il vous faut décommenter le paramètre ''**BlackList domains:/etc/dnscrypt-proxy/dnscrypt-blacklist-domains.txt**'' (enlever le # en début de ligne)\\ | ||
| + | Ensuite télèchargez puis déplacez la liste au bon endroit avec la commande suivante: | ||
| + | <code>wget https://download.dnscrypt.info/blacklists/domains/mybase.txt && sudo mv mybase.txt /etc/dnscrypt-proxy/dnscrypt-blacklist-domains.txt</code> | ||
| + | Exécutez a nouveau la commande pour mettre a jour la liste ! | ||
| - | Enfin, démarrez puis activez le service ''dnscrypt-proxy.service'' au démarrage de votre machine: | + | ==== Démarrer le service systemd ==== |
| + | Enfin, démarrez puis activez le service ''dnscrypt-proxy.service'' au démarrage de votre machine via [[:systemd]]: | ||
| <code>sudo systemctl start dnscrypt-proxy.service</code> | <code>sudo systemctl start dnscrypt-proxy.service</code> | ||
| <code>sudo systemctl enable dnscrypt-proxy.service</code> | <code>sudo systemctl enable dnscrypt-proxy.service</code> | ||
| - | ===== Trucs et astuces ===== | + | ===== Vérification ===== |
| + | Pour effectuer une vérification de l'installation, exécutez | ||
| + | <code>sudo lsof -i -n</code> | ||
| + | Et assurez-vous que le processus est en train d'écouter l'adresse et le port souhaités. | ||
| + | Si c'est bon, et que le proxy s'exécute, envoyez votre première requête au proxy pour vérifier que la chaîne entière fonctionne comme prévu. ''dnscrypt-proxy'' inclut la commande ''hostip''. Un petit utilitaire qui peut être utilisé pour envoyer des requêtes DNS à des résolveurs arbitraires. | ||
| + | <code>hostip -r 127.0.2.1 example.com</code> | ||
| + | Cela devrait renvoyer les adresses IP de l'hôte example.com. | ||
| + | Félicitations, vous avez envoyé votre première requête cryptée et authentifiée en utilisant le protocole DNSCrypt! | ||
| + | Pour confirmer que la réponse provient du résolveur que vous avez choisi et non de votre FAI: | ||
| + | <code>hostip -r 127.0.2.1 resolver.dnscrypt.info</code> | ||
| + | Cette requête spéciale (''resolver.dnscrypt.info'') renvoie l'adresse IP du résolveur que vous utiliserez probablement (et cela fonctionne avec ou sans DNSCrypt). Il devrait correspondre à l'adresse IP du résolveur que vous avez choisi. | ||
| + | |||
| + | ===== Utilisation avec un DNS local ===== | ||
| ==== Local DNS cache configuration ==== | ==== Local DNS cache configuration ==== | ||
| - | <note>Dnscrypt peut mettre en cache les entrées sans compter sur un autre programme. Assurez-vous que ''LocalCache on'' est dans votre fichier de configuration dnscrypt pour activer cette fonctionnalité.</note> | + | <note>Dnscrypt peut mettre en cache les entrées sans compter sur un autre programme. Assurez-vous que **''LocalCache on''** est décommenté dans votre fichier de configuration dnscrypt pour activer cette fonctionnalité.</note> |
| - | Il est recommandé d'exécuter DNSCrypt en tant que redirecteur pour un cache DNS local si vous n'utilisez pas la fonctionnalité de cache de dnscrypt; sinon, chaque requête fera un aller-retour vers le résolveur en amont. Tout programme de mise en cache DNS local devrait fonctionner. En plus de configurer dnscrypt-proxy, vous devez configurer votre programme de cache DNS local. | + | Si vous n'utilisez pas la fonctionnalité de cache de dnscrypt il est recommandé d'éxécuter DNSCrypt en tant que redirecteur pour un cache DNS local ; sinon, chaque requête fera un aller-retour vers le résolveur en amont. Tout programme de mise en cache DNS local devrait fonctionner. En plus de configurer dnscrypt-proxy, vous devez configurer votre programme de cache DNS local. |
| ==== Changer le port ==== | ==== Changer le port ==== | ||
| - | <note>La modification de l'adresse IP ou du port dans ''/etc/dnscrypt-proxy.conf'' ne fonctionne pas avec systemd et doit être modifiée dans le socket systemd fourni de la manière suivante.</note> | + | <note important>Partie a vérifier - ne fonctionne pas apres test en VM sur ubuntu-Gnome 17.04</note> |
| - | Afin de transférer vers un cache DNS local, dnscrypt-proxy doit écouter sur un port différent du port 53 pardéfaut, car le cache DNS lui-même doit écouter sur le port 53 et interroger dnscrypt-proxy sur un autre port. Le numéro de port ''5353'' est utilisé à titre d'exemple dans cette section. Dans cet exemple, le numéro de port est supérieur à 1024, de sorte que ''dnscrypt-proxy'' n'est pas a être exécuté par root. Modifiez ''dnscrypt-proxy.socket'' avec le contenu suivant: | + | <note>La modification de l'adresse IP ou du port dans ''/etc/dnscrypt-proxy/dnscrypt-proxy.conf'' ne fonctionne pas avec systemd et doit être modifiée dans le socket systemd fourni de la manière suivante.</note> |
| - | <file>[Socket] | + | Afin de transférer vers un cache DNS local, dnscrypt-proxy doit écouter sur un port différent du port 53 pardéfaut, car le cache DNS lui-même doit écouter sur le port 53 et interroger dnscrypt-proxy sur un autre port. Le numéro de port ''5353'' est utilisé à titre d'exemple dans cette section. Dans cet exemple, le numéro de port est supérieur à 1024, de sorte que ''dnscrypt-proxy'' n'est pas a être exécuté par root. Modifiez **dnscrypt-proxy.socket** avec le contenu suivant: |
| + | <file - /lib/systemd/system/dnscrypt-proxy.socket>[Socket] | ||
| ListenStream= | ListenStream= | ||
| ListenDatagram= | ListenDatagram= | ||
| - | ListenStream=127.0.0.1:5353 | + | ListenStream=127.0.2.1:5353 |
| - | ListenDatagram=127.0.0.1:5353</file> | + | ListenDatagram=127.0.2.1:5353</file> |
| - | <note important>Le port UDP 5353 est utilisé par Avahi (si installé et en cours d'exécution) et peut provoquer des avertissements dans le journal</note> | + | <note important>Le port UDP 5353 est utilisé par Avahi (si installé et en cours d'exécution) et peut provoquer des avertissements dans le journal. Dans ce cas, utilisez le port 5354 par example.</note> |
| - | ===== Example de configurations local DNS cache ===== | + | ===== Exemple de configurations local DNS cache ===== |
| Les configurations suivantes devraient fonctionner avec dnscrypt-proxy et assume qu'il écoute sur le port ''5353''. | Les configurations suivantes devraient fonctionner avec dnscrypt-proxy et assume qu'il écoute sur le port ''5353''. | ||
| ==== Unbound ==== | ==== Unbound ==== | ||
| - | Configurez Unbound à votre convenance et ajoutez les lignes suivantes à la fin de la section ''server'' dans ''/etc/unbound/unbound.conf'': | + | Configurez [[:Unbound]] à votre convenance et ajoutez les lignes suivantes à la fin de la section ''server'': |
| - | <file>do-not-query-localhost: no | + | <file - /etc/unbound/unbound.conf>do-not-query-localhost: no |
| forward-zone: | forward-zone: | ||
| name: "." | name: "." | ||
| - | forward-addr: 127.0.0.1@5353</file> | + | forward-addr: 127.0.2.1@5353</file> |
| | | ||
| - | <note tip>Si vous configurez un serveur, ajoutez l'interface: ''interface: 0.0.0.0@53'' et ''access-control: your-network/subnet-mask allow'' dans la section ''server:'' section afin que les autres ordinateurs puissent se connecter au serveur. Un client doit être configuré avec ''nameserver address-of-your-server'' dans ''/etc/resolv.conf''.</note> | + | <note tip>Si vous configurez un serveur, ajoutez l'interface: ''interface: 0.0.0.0@53'' et ''access-control: your-network/subnet-mask allow'' dans la section ''server:'' section afin que les autres ordinateurs puissent se connecter au serveur. Un client doit être configuré avec ''nameserver address-of-your-server'' dans **/etc/resolv.conf**.</note> |
| | | ||
| Ensuite redémarrez unbound.service pour appliquer les modifications: | Ensuite redémarrez unbound.service pour appliquer les modifications: | ||
| Ligne 88: | Ligne 118: | ||
| ==== dnsmasq ==== | ==== dnsmasq ==== | ||
| - | Configurez dnsmasq en tant que [[https://doc.ubuntu-fr.org/configuration_serveur_dns_dhcp#configuration_du_cache_dns|cache DNS local]]. La configuration de base dans ''/etc/dnsmasq.conf'' pour fonctionner avec DNSCrypt: | + | Configurez dnsmasq en tant que [[#configuration_du_cache_dns|cache DNS local]]. La configuration de base pour fonctionner avec DNSCrypt: |
| - | <file>no-resolv | + | <file - /etc/dnsmasq.conf>no-resolv |
| - | server=127.0.0.1#5353 | + | server=127.0.2.1#5353 |
| listen-address=127.0.0.1</file> | listen-address=127.0.0.1</file> | ||
| - | Si vous avez configuré DNSCrypt pour utiliser un résolveur avec la validation DNSSEC activée, assurez-vous de l'activer également dans ''/etc/dnsmasq.conf'': | + | Si vous avez configuré DNSCrypt pour utiliser un résolveur avec la validation DNSSEC activée, assurez-vous de l'activer également dans **/etc/dnsmasq.conf**: |
| <file>proxy-dnssec</file> | <file>proxy-dnssec</file> | ||
| Redémarrez dnsmasq.service pour appliquer les modifications: | Redémarrez dnsmasq.service pour appliquer les modifications: | ||
| <code>sudo systemctl restart dnsmasq.service</code> | <code>sudo systemctl restart dnsmasq.service</code> | ||
| + | |||
| ==== Activer EDNS0 ==== | ==== Activer EDNS0 ==== | ||
| - | [[https://fr.wikipedia.org/wiki/EDNS|EDNS]] qui, entre autres, permettent à un client de préciser la taille d'une réponse via UDP. | + | [[wpfr>EDNS]] qui, entre autres, permettent à un client de préciser la taille d'une réponse via UDP. |
| - | Ajoutez la ligne suivante à votre /etc/resolv.conf: | + | Ajoutez la ligne suivante à votre **/etc/resolv.conf**: |
| <file>options edns0</file> | <file>options edns0</file> | ||
| - | Vous pouvez également ajouter ce qui suit à ''/etc/dnscrypt-proxy.conf'': | + | Vous pouvez également ajouter ce qui suit à **/etc/dnscrypt-proxy/dnscrypt-proxy.conf**: |
| <file>EDNSPayloadSize <bytes></file> | <file>EDNSPayloadSize <bytes></file> | ||
| Ou <bytes> est un nombre, la taille par défaut étant 1252, avec des valeurs allant jusqu'à 4096 octets, étant présumée sûre. Une valeur inférieure ou égale à 512 octets désactivera ce mécanisme, sauf si un client envoie un paquet avec une section OPT fournissant une taille. | Ou <bytes> est un nombre, la taille par défaut étant 1252, avec des valeurs allant jusqu'à 4096 octets, étant présumée sûre. Une valeur inférieure ou égale à 512 octets désactivera ce mécanisme, sauf si un client envoie un paquet avec une section OPT fournissant une taille. | ||
| Ligne 117: | Ligne 148: | ||
| <code>sudo useradd -r -d /var/dnscrypt -m -s /sbin/nologin dnscrypt</code> FIXME commande a vérifier ! | <code>sudo useradd -r -d /var/dnscrypt -m -s /sbin/nologin dnscrypt</code> FIXME commande a vérifier ! | ||
| - | Deux solutions possibles Modifier ''/etc/dnscrypt-proxy.conf'', en ajoutant le nouvel utilisateur: | + | Deux solutions possibles [[:tutoriel:comment_modifier_un_fichier|modifiez]] **/etc/dnscrypt-proxy/dnscrypt-proxy.conf** avec les [[:sudo|droits d'administration]], en ajoutant le nouvel utilisateur: |
| <file>User dnscrypt</file> | <file>User dnscrypt</file> | ||
| - | Sinon, vous devez utiliser User = dans l'unité ''dnscrypt-proxy.service'' de systemd: FIXME Formulation a revoir ! | + | Sinon, vous devez utiliser User = dans la section [Service] ''dnscrypt-proxy.service'' de [[:systemd]]: FIXME Formulation a revoir ! |
| - | <file>[Service] | + | <file - /lib/systemd/system/dnscrypt-proxy.service>[Service] |
| User=dnscrypt | User=dnscrypt | ||
| CapabilityBoundingSet=CAP_NET_BIND_SERVICE</file> | CapabilityBoundingSet=CAP_NET_BIND_SERVICE</file> | ||
| Cette deuxième option est utile lors de l'utilisation d'un serveur de mise en cache comme Unbound et est préférable, puisque l'unité n'est pas exécutée en tant que root en premier lieu. Si vous avez changé le port vers un non-privilégié (par exemple 5353), ''CapabilityBoundingSet = CAP_NET_BIND_SERVICE'' n'est pas nécessaire. | Cette deuxième option est utile lors de l'utilisation d'un serveur de mise en cache comme Unbound et est préférable, puisque l'unité n'est pas exécutée en tant que root en premier lieu. Si vous avez changé le port vers un non-privilégié (par exemple 5353), ''CapabilityBoundingSet = CAP_NET_BIND_SERVICE'' n'est pas nécessaire. | ||
| - | ==== Network Manager et divers autres processus écrasent /etc/resolv.conf ==== | + | ==== Divers processus écrasent resolv.conf ==== |
| Il s'agit généralement d'un comportement souhaitable, mais parfois, les paramètres DNS doivent être définis manuellement (par exemple lors de l'utilisation d'une adresse IP statique). Il existe plusieurs façons d'y parvenir. | Il s'agit généralement d'un comportement souhaitable, mais parfois, les paramètres DNS doivent être définis manuellement (par exemple lors de l'utilisation d'une adresse IP statique). Il existe plusieurs façons d'y parvenir. | ||
| === Avec Network Manager === | === Avec Network Manager === | ||
| - | Pour empêcher NetworkManager de modifier ''/etc/resolv.conf'', modifiez ''/etc/NetworkManager/NetworkManager.conf'' et ajoutez ce qui suit dans la section [main]: | + | NetworkManager enregistre ses paramètres dans **/etc/NetworkManager/system-connections/nom-de-la-connection**. |
| + | Example pour une connection filaire: | ||
| + | <file - /etc/NetworkManager/system-connections/Wired connection 1>[802-3-ethernet] | ||
| + | duplex=full | ||
| + | mac-address=XX:XX:XX:XX:XX:XX | ||
| + | |||
| + | [connection] | ||
| + | id=Wired connection 1 | ||
| + | uuid=xxx-xxxxxx-xxxxxx-xxxxxx-xxx | ||
| + | type=802-3-ethernet | ||
| + | timestamp=1385213042 | ||
| + | |||
| + | [ipv6] | ||
| + | method=auto | ||
| + | |||
| + | [ipv4] | ||
| + | method=auto | ||
| + | dns=127.0.2.1; | ||
| + | ignore-auto-dns=true</file> | ||
| + | Cette 1ère solution est a privilégier. | ||
| + | |||
| + | Alternativement, pour empêcher NetworkManager de modifier **/etc/resolv.conf**, [[:tutoriel:comment_modifier_un_fichier|Modifiez]] **/etc/NetworkManager/NetworkManager.conf** et ajoutez ce qui suit dans la section [main]: | ||
| <file>dns=none</file> | <file>dns=none</file> | ||
| ''/etc/resolv.conf'' peut être un lien symbolique brisé que vous devrez supprimer après avoir fait cela. Ensuite, créez simplement un nouveau fichier ''/etc/resolv.conf''. | ''/etc/resolv.conf'' peut être un lien symbolique brisé que vous devrez supprimer après avoir fait cela. Ensuite, créez simplement un nouveau fichier ''/etc/resolv.conf''. | ||
| + | |||
| + | === Avec Resolvconf === | ||
| + | Si le programme resolvconf est installé, vous ne devez pas modifier le fichier de configuration resolv.conf manuellement car il sera modifié dynamiquement par les programmes du système. Pour définir manuellement les serveurs de noms (comme avec une interface statique), ajoutez une ligne comme suit dans le fichier de configuration d'interfaces dans **/etc/network/interfaces**: | ||
| + | <file>dns-nameservers 127.0.2.1</file> | ||
| + | |||
| + | === Avec DHCP Client === | ||
| + | Exemple: dhclient3 utilise **/etc/dhcp/dhclient.conf**. Le réglage que vous voulez est | ||
| + | <file>supersede domain-name-servers 127.0.2.1;</file> | ||
| + | ou peut-être | ||
| + | <file>prepend domain-name-servers 127.0.2.1;</file> | ||
| + | Prenez garde de bien fermer la ligne avec un ; | ||
| + | Voir la page de manuel dhclient.conf (5) pour plus de détails. | ||
| === Protection contre l'écriture === | === Protection contre l'écriture === | ||
| Une autre façon (radicale!) de protéger votre /etc/resolv.conf d'être modifié par quoi que ce soit est de mettre en place la protection en écriture: | Une autre façon (radicale!) de protéger votre /etc/resolv.conf d'être modifié par quoi que ce soit est de mettre en place la protection en écriture: | ||
| - | <code>sudo chattr +i /etc/resolv.conf</code> FIXME commande a vérifier ! | + | <code>sudo chattr +i /etc/resolv.conf</code> pour dévérouiller la protection, éxécutez: |
| + | <code>sudo chattr -i /etc/resolv.conf</code> | ||
| + | FIXME : Trouver une solution plus élegante qui ne contrarie pas le comportement d'autres services | ||
| ===== Désinstallation ===== | ===== Désinstallation ===== | ||
| - | Pour supprimer cette application, il suffit de supprimer les paquets [[apt>dnscrypt-proxy]] et [[apt>dnscrypt-proxy-plugins]]. Selon la méthode choisie, la configuration globale de l'application est conservée ou supprimée. Les journaux du système, et les fichiers de préférence des utilisateurs dans leurs dossiers personnels sont toujours conservés. | + | Pour supprimer cette application, il suffit de [[:tutoriel:comment_supprimer_un_paquet|Supprimez les paquets]] ''**dnscrypt-proxy**'' et ''**dnscrypt-proxy-plugins**''. Selon la méthode choisie, la configuration globale de l'application est conservée ou supprimée. Les journaux du système, et les fichiers de préférence des utilisateurs dans leurs dossiers personnels sont toujours conservés. |
| ===== Voir aussi ===== | ===== Voir aussi ===== | ||
| - | * **(en)** [[https://dnscrypt.org|Site officiel du logiciel]] | + | * **(en)** [[https://dnscrypt.info|Site officiel de DNSCrypt]] |
| - | * **(en)** [[https://github.com/jedisct1/dnscrypt-proxy/blob/master/dnscrypt-resolvers.csv|la page Github du projet]] | + | * **(en)** [[https://github.com/DNSCrypt|La page Github du projet]] |
| - | + | * **(fr)** [[https://forum.ubuntu-fr.org/viewtopic.php?id=2012964|Sujet sur le forum Ubuntu-fr]] | |
| ---- | ---- | ||
| //Contributeurs principaux : [[utilisateurs:deobs|deobs]].// | //Contributeurs principaux : [[utilisateurs:deobs|deobs]].// | ||
| - | //Basé sur [[https://wiki.archlinux.org/index.php/DNSCrypt|A protocol to improve DNS security]] par [[https://github.com/jedisct1]] mainteneur actuel.// | + | //Basé sur [[https://wiki.archlinux.org/index.php/DNSCrypt|ArchWiki]] et [[https://github.com/DNSCrypt/dnscrypt-proxy/wiki|A protocol to improve DNS security]] par [[https://github.com/jedisct1]] mainteneur actuel.// |