La mise en place de votre propre serveur DNS dédié offre des performances, une stabilité et une sécurité accrues pour l’infrastructure DNS de vos domaines. cPanel DNS Only est une excellente option pour exécuter un serveur DNS autoritatif sur Linux.
Ce guide vous guidera dans l’installation et la configuration de cPanel DNS Only sur Linux. Nous aborderons:
- Les avantages de l’utilisation de DNS Only
- Les exigences et les prérequis détaillés
- L’installation étape par étape sur Ubuntu ou AlmaLinux
- La configuration post-installation
- La sécurisation de votre serveur DNS
- L’activation de DNSSEC
- L’intégration avec des clusters DNS
- Le dépannage des problèmes courants
À la fin, vous disposerez de connaissances approfondies pour le déploiement de DNS Only sur Linux. Commençons !
Pourquoi utiliser cPanel DNS Only ?
Avant de plonger dans l’installation, discutons des raisons pour lesquelles vous voudrez peut-être utiliser cPanel DNS Only pour votre DNS autoritatif :
Léger et rapide
DNS Only inclut uniquement les services DNS et les outils de gestion sans tous les composants supplémentaires de cPanel. C’est gratuit et cette base de code optimisée le rend rapide et léger.
Gestion DNS facile
- Interface web conviviale pour gérer facilement les zones DNS, les enregistrements et les paramètres.
Fonctionnalités DNS avancées
- Prend en charge le DNS moderne comme DNSSEC pour la sécurité et anycast pour les performances.
S’intègre à cPanel
- Peut rejoindre des clusters avec des serveurs cPanel WHM et synchroniser les zones DNS.
Développement actif
- cPanel a une longue histoire de maintenance active de ses logiciels avec des mises à jour fréquentes.
PowerDNS ou BIND
- Peut choisir entre PowerDNS ou BIND comme serveur DNS backend.
En tirant parti de DNS Only pour votre DNS autoritatif, vous pouvez reprendre le contrôle de cette infrastructure critique pour vos domaines et construire un système DNS plus rapide et plus robuste.
Voyons maintenant les exigences et les prérequis.
Exigences et prérequis pour DNS Only
Avant d’installer cPanel DNS Only, vous avez besoin d’un serveur Linux qui répond à ces exigences :
Distribution Linux prise en charge
- Ubuntu 20.04 LTS – La dernière version LTS d’Ubuntu est recommandée.
- AlmaLinux 8 – La fork communautaire de RHEL 8.
Les anciennes distributions obsolètes ne sont pas recommandées.
Installation minimale fraîche
Commencez avec une nouvelle installation minimale de votre distribution Linux, sans configuration ni logiciel existant. DNS Only doit être la seule application installée.
Accès root
Vous devez disposer d’un accès SSH de niveau root pour installer et configurer le logiciel.
Attribuer un FQDN
Définissez le nom d’hôte de votre serveur pour qu’il s’agisse d’un FQDN approprié comme ns1.example.com
au lieu d’un nom court.
Modifiez /etc/hostname
et mettez-le à jour avec votre nom d’hôte FQDN souhaité.
Ouvrir les ports du pare-feu
Les ports TCP suivants doivent être ouverts dans votre pare-feu Linux :
- 53 – Requêtes DNS standard
- 953 – Requêtes DNS sur TLS chiffrées
- 2087 – Interface Web DNS Only
- 80/443 – Si intégration avec un serveur cPanel
Sur Ubuntu, utilisez UFW pour ouvrir les ports :
$ ufw allow 53
$ ufw allow 953
$ ufw allow 2087
$ ufw allow 80/443
Sur AlmaLinux, utilisez Firewalld :
$ firewall-cmd --permanent --add-port=953/tcp
$ firewall-cmd --reload
Satisfaire aux ressources système minimales
Le serveur doit disposer au moins de :
- 2 Go de RAM
- 2 cœurs de CPU
- 10 Go d’espace disque
Pour une utilisation en production, 4+ cœurs, 8+ Go de RAM et des disques durs HDD ou SSD RAID-10 sont recommandés.
Nom d’hôte résoluble
Assurez-vous que le nom d’hôte de votre serveur puisse être résolu soit via le DNS local soit via une entrée /etc/hosts
le pointant vers une adresse IP locale.
Testez la résolution depuis le serveur lui-même :
$ ping $(hostname)
Accès aux référentiels cPanel
Votre serveur doit être en mesure d’atteindre directement les dépôts cPanel ou via un miroir local afin d’installer le logiciel.
Cela couvre les principales exigences et conditions préalables. Ensuite, nous passerons par le processus d’installation.
Guide d’installation étape par étape
Votre serveur Linux étant prêt, passons en revue le processus d’installation étape par étape :
Télécharger le script d’installation
Tout d’abord, SSH sur votre serveur en tant que root et accédez au répertoire /home :
$ cd /home
Ensuite, utilisez curl pour télécharger le dernier script d’installation de cPanel DNS Only :
$ curl -o latest-dnsonly -L https://securedownloads.cpanel.net/latest-dnsonly
Cela enregistrera le script dans latest-dnsonly
dans votre répertoire de travail actuel.
Rendre le script exécutable
Nous devons rendre le script exécutable avant de l’exécuter :
$ chmod +x latest-dnsonly
Exécuter le script d’installation
Maintenant, exécutez le script pour démarrer le processus d’installation :
$ ./latest-dnsonly
Cela lancera l’installateur interactif qui installe PowerDNS, le configure pour le mode DNS Only, installe l’interface web et effectue d’autres étapes de configuration.
Accepter le contrat de licence
Lors de l’installation, il vous sera demandé d’accepter le contrat de licence cPanel. Cela est obligatoire, acceptez-le donc pour continuer.
Le reste de l’installation se déroulera automatiquement. Cela prend généralement 5 à 10 minutes selon la vitesse de connexion Internet de votre serveur.
Une fois terminé, DNS Only sera installé mais nous devons effectuer la configuration initiale suivante.
Configuration post-installation
Après l’installation, certaines étapes post-installation importantes doivent être effectuées pour la configuration initiale :
Mettre à jour le nom d’hôte
Même si nous avons déjà défini le nom d’hôte plus tôt, mettons-le à jour à nouveau dans /etc/hostname pour nous assurer qu’il correspond au FQDN du serveur :
$ vim /etc/hostname
ns1.example.com
Définir le nom d’hôte dans /etc/hosts
Ensuite, assurez-vous que le nom d’hôte de votre serveur est défini dans /etc/hosts en le mappant à 127.0.0.1 :
127.0.0.1 localhost ns1.example.com
Cela permet de résoudre correctement le nom d’hôte localement.
Redémarrer le serveur
Avec le nom d’hôte configuré, redémarrez votre serveur pour que les modifications prennent effet :
$ reboot
Vérifier l’accès à l’interface Web
Une fois votre serveur redémarré, testez que vous pouvez accéder à l’interface Web DNS Only à l’adresse :
https://your_server_fqdn:2087
Par exemple :
https://ns1.example.com:2087
Acceptez l’avertissement de certificat SSL et entrez votre nom d’utilisateur et mot de passe d’administrateur.
Supprimer la zone de test par défaut
Une zone de test par défaut appelée “localhost.localdomain” est créée lors de l’installation. Cette zone d’exemple doit être supprimée :
- Dans l’interface DNS Only, accédez à Configurer -> Zones
- Trouvez la zone localhost.localdomain et supprimez-la.
Cela termine la configuration post-installation ! Ensuite, nous discuterons de la sécurisation de votre serveur DNS Only.
Sécuriser votre serveur DNS Only
Étant donné que DNS est un composant d’infrastructure critique, il est important de suivre les meilleures pratiques de sécurité pour votre serveur DNS Only :
Utiliser un serveur dédié
N’installez pas de logiciel supplémentaire au-delà de DNS Only. Ce serveur doit être dédié à 100% aux services DNS.
Désactiver la connexion SSH root
Empêchez les connexions SSH root directes en définissant PermitRootLogin no
dans la configuration de votre daemon SSH.
Utiliser des clés SSH au lieu de mots de passe
Pour tout accès SSH, utilisez une authentification basée sur des clés au lieu de mots de passe.
Suivre les recommandations de sécurité du système d’exploitation
Reportez-vous aux guides de sécurité de votre distribution Linux pour des moyens supplémentaires de durcir le système d’exploitation.
Installer un pare-feu d’hôte
Envisagez d’installer CSF, Firewalld ou UFW pour verrouiller l’accès. Autorisez uniquement les ports requis.
Mises à jour régulières
Appliquez les correctifs de sécurité en mettant régulièrement à jour DNS Only, PowerDNS et les paquets du système d’exploitation.
Surveiller les anomalies
Utilisez des outils de surveillance comme Fail2ban pour être alerté en cas d’activité anormale comme des attaques par force brute.
Le respect des meilleures pratiques de sécurité garantit que votre infrastructure DNS reste sûre et sécurisée.
Voyons maintenant comment activer DNSSEC.
Configuration de DNSSEC
DNSSEC fournit une sécurité supplémentaire pour vos données DNS grâce à la signature cryptographique des enregistrements.
Voici comment activer DNSSEC pour un domaine avec DNS Only :
- Dans l’interface web, accédez à Configurer -> Zones
- Sélectionnez la zone de domaine pour laquelle vous souhaitez activer DNSSEC
- Accédez à la section DNSSEC et cliquez sur “Activer DNSSEC”
- Suivez les étapes pour générer et activer une nouvelle clé DNSSEC
Une fois activé, le domaine parent (c’est-à-dire .com) devra également avoir DNSSEC actif et publier un enregistrement DS. Cela permet une validation de bout en bout.
Consultez la documentation DNSSEC de cPanel pour plus de détails sur la configuration.
Intégration à un cluster DNS
Pour la redondance, vous pouvez joindre votre serveur DNS Only à un cluster cPanel WHM existant. Cela synchronise les zones entre les serveurs.
Pour activer la synchronisation de cluster :
- Sur votre serveur cPanel WHM, installez une licence Cluster Sync
- Accédez à Accueil >> Services de clustering >> Gérer le cluster Sync
- Cliquez sur “Ajouter un serveur au cluster” et saisissez l’IP de votre serveur DNS Only
- Copiez la clé d’authentification /etc/dns_cluster.conf de WHM vers votre serveur DNS Only
Une fois connecté, les zones DNS dans WHM seront automatiquement synchronisées avec votre serveur DNS Only. Voir la documentation sur le clustering cPanel pour plus de détails.
Dépannage des problèmes courants
Voici quelques conseils pour résoudre les problèmes courants avec DNS Only :
Impossible d’accéder à l’interface web :
- Vérifiez que vous vous connectez au nom d’hôte et au port 2087 corrects
- Vérifiez que le pare-feu autorise le port 2087
- Essayez de redémarrer le service cpsrvd
Les modifications de zone ne fonctionnent pas :
- Incrémentez le numéro de série de la zone DNS lors de la modification
- Videz le cache DNS sur les clients et testez à nouveau
- Redémarrez le service PowerDNS pour charger les nouvelles données de zone
Échecs de validation DNSSEC :
- Assurez-vous que l’enregistrement DS est publié chez le registrar
- Vérifiez que la zone parente (.com, .net) a DNSSEC activé
- Utilisez dig pour vérifier que les enregistrements DNSKEY et DS sont disponibles
Échecs de synchronisation du cluster :
- Confirmez que /etc/dns_cluster.conf possède la clé d’authentification de WHM
- Vérifiez que le pare-feu autorise le trafic sur le port 40000 pour le clustering
- Recherchez les erreurs dans /var/log/cpdnsrsync.log
- Forcez la transmission des zones depuis WHM pour synchroniser les modifications
Cela couvre les étapes de dépannage les plus courantes. Consultez la documentation cPanel pour des conseils de débogage supplémentaires.
Conclusion
Dans ce guide complet, nous avons couvert les avantages de l’utilisation de cPanel DNS Only pour le DNS autoritatif, décrit les exigences d’installation et les prérequis, fourni des instructions d’installation étape par étape pour Ubuntu et AlmaLinux, discuté de la configuration post-installation comme la définition d’un mot de passe admin et d’un nom d’hôte, expliqué les considérations de sécurité importantes pour renforcer votre serveur DNS, détaillé comment activer les fonctionnalités DNSSEC avancées et décrit l’intégration de DNS Only dans un cluster DNS existant. En outre, des conseils de dépannage ont été fournis pour les problèmes courants. Maintenant, vous devriez avoir toutes les connaissances nécessaires pour mettre en place et exécuter un serveur DNS Only full-featured sur Linux, prêt à commencer à faire passer l’infrastructure DNS de vos domaines au niveau supérieur ! Faites-moi savoir dans les commentaires si vous avez d’autres questions.