Tutoriel pour installer cPanel DNS Only sur Linux

La mise en place de votre propre serveur DNS dédié offre des performances, une stabilité et une sécurité accrues pour l’infrastructure DNS de vos domaines. cPanel DNS Only est une excellente option pour exécuter un serveur DNS autoritatif sur Linux.

Ce guide vous guidera dans l’installation et la configuration de cPanel DNS Only sur Linux. Nous aborderons:

• Les avantages de l’utilisation de DNS Only
• Les exigences et les prérequis détaillés
• L’installation étape par étape sur Ubuntu ou AlmaLinux
• La configuration post-installation
• La sécurisation de votre serveur DNS
• L’activation de DNSSEC
• L’intégration avec des clusters DNS
• Le dépannage des problèmes courants

À la fin, vous disposerez de connaissances approfondies pour le déploiement de DNS Only sur Linux. Commençons !

Pourquoi utiliser cPanel DNS Only ?

Avant de plonger dans l’installation, discutons des raisons pour lesquelles vous voudrez peut-être utiliser cPanel DNS Only pour votre DNS autoritatif :

Léger et rapide

DNS Only inclut uniquement les services DNS et les outils de gestion sans tous les composants supplémentaires de cPanel. C’est gratuit et cette base de code optimisée le rend rapide et léger.

Gestion DNS facile

• Interface web conviviale pour gérer facilement les zones DNS, les enregistrements et les paramètres.

Fonctionnalités DNS avancées

• Prend en charge le DNS moderne comme DNSSEC pour la sécurité et anycast pour les performances.

S’intègre à cPanel

• Peut rejoindre des clusters avec des serveurs cPanel WHM et synchroniser les zones DNS.

Développement actif

• cPanel a une longue histoire de maintenance active de ses logiciels avec des mises à jour fréquentes.

PowerDNS ou BIND

• Peut choisir entre PowerDNS ou BIND comme serveur DNS backend.

En tirant parti de DNS Only pour votre DNS autoritatif, vous pouvez reprendre le contrôle de cette infrastructure critique pour vos domaines et construire un système DNS plus rapide et plus robuste.

Voyons maintenant les exigences et les prérequis.

Exigences et prérequis pour DNS Only

Avant d’installer cPanel DNS Only, vous avez besoin d’un serveur Linux qui répond à ces exigences :

Distribution Linux prise en charge

• Ubuntu 20.04 LTS – La dernière version LTS d’Ubuntu est recommandée.
• AlmaLinux 8 – La fork communautaire de RHEL 8.

Les anciennes distributions obsolètes ne sont pas recommandées.

Installation minimale fraîche

Commencez avec une nouvelle installation minimale de votre distribution Linux, sans configuration ni logiciel existant. DNS Only doit être la seule application installée.

Accès root

Vous devez disposer d’un accès SSH de niveau root pour installer et configurer le logiciel.

Attribuer un FQDN

Définissez le nom d’hôte de votre serveur pour qu’il s’agisse d’un FQDN approprié comme ns1.example.com au lieu d’un nom court.

Modifiez /etc/hostname et mettez-le à jour avec votre nom d’hôte FQDN souhaité.

Ouvrir les ports du pare-feu

Les ports TCP suivants doivent être ouverts dans votre pare-feu Linux :

• 53 – Requêtes DNS standard
• 953 – Requêtes DNS sur TLS chiffrées
• 2087 – Interface Web DNS Only
• 80/443 – Si intégration avec un serveur cPanel

Sur Ubuntu, utilisez UFW pour ouvrir les ports :

$ ufw allow 53
$ ufw allow 953
$ ufw allow 2087
$ ufw allow 80/443

Sur AlmaLinux, utilisez Firewalld :

$ firewall-cmd --permanent --add-port=953/tcp
$ firewall-cmd --reload

Satisfaire aux ressources système minimales

Le serveur doit disposer au moins de :

• 2 Go de RAM
• 2 cœurs de CPU
• 10 Go d’espace disque

Pour une utilisation en production, 4+ cœurs, 8+ Go de RAM et des disques durs HDD ou SSD RAID-10 sont recommandés.

Nom d’hôte résoluble

Assurez-vous que le nom d’hôte de votre serveur puisse être résolu soit via le DNS local soit via une entrée /etc/hosts le pointant vers une adresse IP locale.

Testez la résolution depuis le serveur lui-même :

$ ping $(hostname)

Accès aux référentiels cPanel

Votre serveur doit être en mesure d’atteindre directement les dépôts cPanel ou via un miroir local afin d’installer le logiciel.

Cela couvre les principales exigences et conditions préalables. Ensuite, nous passerons par le processus d’installation.

Guide d’installation étape par étape

Votre serveur Linux étant prêt, passons en revue le processus d’installation étape par étape :

Télécharger le script d’installation

Tout d’abord, SSH sur votre serveur en tant que root et accédez au répertoire /home :

$ cd /home

Ensuite, utilisez curl pour télécharger le dernier script d’installation de cPanel DNS Only :

$ curl -o latest-dnsonly -L https://securedownloads.cpanel.net/latest-dnsonly 

Cela enregistrera le script dans latest-dnsonly dans votre répertoire de travail actuel.

Rendre le script exécutable

Nous devons rendre le script exécutable avant de l’exécuter :

$ chmod +x latest-dnsonly

Exécuter le script d’installation

Maintenant, exécutez le script pour démarrer le processus d’installation :

$ ./latest-dnsonly

Cela lancera l’installateur interactif qui installe PowerDNS, le configure pour le mode DNS Only, installe l’interface web et effectue d’autres étapes de configuration.

Accepter le contrat de licence

Lors de l’installation, il vous sera demandé d’accepter le contrat de licence cPanel. Cela est obligatoire, acceptez-le donc pour continuer.

Le reste de l’installation se déroulera automatiquement. Cela prend généralement 5 à 10 minutes selon la vitesse de connexion Internet de votre serveur.

Une fois terminé, DNS Only sera installé mais nous devons effectuer la configuration initiale suivante.

Configuration post-installation

Après l’installation, certaines étapes post-installation importantes doivent être effectuées pour la configuration initiale :

Mettre à jour le nom d’hôte

Même si nous avons déjà défini le nom d’hôte plus tôt, mettons-le à jour à nouveau dans /etc/hostname pour nous assurer qu’il correspond au FQDN du serveur :

$ vim /etc/hostname
ns1.example.com

Définir le nom d’hôte dans /etc/hosts

Ensuite, assurez-vous que le nom d’hôte de votre serveur est défini dans /etc/hosts en le mappant à 127.0.0.1 :

127.0.0.1 localhost ns1.example.com

Cela permet de résoudre correctement le nom d’hôte localement.

Redémarrer le serveur

Avec le nom d’hôte configuré, redémarrez votre serveur pour que les modifications prennent effet :

$ reboot

Vérifier l’accès à l’interface Web

Une fois votre serveur redémarré, testez que vous pouvez accéder à l’interface Web DNS Only à l’adresse :

https://your_server_fqdn:2087

Par exemple :

https://ns1.example.com:2087

Acceptez l’avertissement de certificat SSL et entrez votre nom d’utilisateur et mot de passe d’administrateur.

Supprimer la zone de test par défaut

Une zone de test par défaut appelée “localhost.localdomain” est créée lors de l’installation. Cette zone d’exemple doit être supprimée :

1. Dans l’interface DNS Only, accédez à Configurer -> Zones
2. Trouvez la zone localhost.localdomain et supprimez-la.

Cela termine la configuration post-installation ! Ensuite, nous discuterons de la sécurisation de votre serveur DNS Only.

Sécuriser votre serveur DNS Only

Étant donné que DNS est un composant d’infrastructure critique, il est important de suivre les meilleures pratiques de sécurité pour votre serveur DNS Only :

Utiliser un serveur dédié

N’installez pas de logiciel supplémentaire au-delà de DNS Only. Ce serveur doit être dédié à 100% aux services DNS.

Désactiver la connexion SSH root

Empêchez les connexions SSH root directes en définissant PermitRootLogin no dans la configuration de votre daemon SSH.

Utiliser des clés SSH au lieu de mots de passe

Pour tout accès SSH, utilisez une authentification basée sur des clés au lieu de mots de passe.

Suivre les recommandations de sécurité du système d’exploitation

Reportez-vous aux guides de sécurité de votre distribution Linux pour des moyens supplémentaires de durcir le système d’exploitation.

Installer un pare-feu d’hôte

Envisagez d’installer CSF, Firewalld ou UFW pour verrouiller l’accès. Autorisez uniquement les ports requis.

Mises à jour régulières

Appliquez les correctifs de sécurité en mettant régulièrement à jour DNS Only, PowerDNS et les paquets du système d’exploitation.

Surveiller les anomalies

Utilisez des outils de surveillance comme Fail2ban pour être alerté en cas d’activité anormale comme des attaques par force brute.

Le respect des meilleures pratiques de sécurité garantit que votre infrastructure DNS reste sûre et sécurisée.

Voyons maintenant comment activer DNSSEC.

Configuration de DNSSEC

DNSSEC fournit une sécurité supplémentaire pour vos données DNS grâce à la signature cryptographique des enregistrements.

Voici comment activer DNSSEC pour un domaine avec DNS Only :

1. Dans l’interface web, accédez à Configurer -> Zones
2. Sélectionnez la zone de domaine pour laquelle vous souhaitez activer DNSSEC
3. Accédez à la section DNSSEC et cliquez sur “Activer DNSSEC”
4. Suivez les étapes pour générer et activer une nouvelle clé DNSSEC

Une fois activé, le domaine parent (c’est-à-dire .com) devra également avoir DNSSEC actif et publier un enregistrement DS. Cela permet une validation de bout en bout.

Consultez la documentation DNSSEC de cPanel pour plus de détails sur la configuration.

Intégration à un cluster DNS

Pour la redondance, vous pouvez joindre votre serveur DNS Only à un cluster cPanel WHM existant. Cela synchronise les zones entre les serveurs.

Pour activer la synchronisation de cluster :

1. Sur votre serveur cPanel WHM, installez une licence Cluster Sync
2. Accédez à Accueil >> Services de clustering >> Gérer le cluster Sync
3. Cliquez sur “Ajouter un serveur au cluster” et saisissez l’IP de votre serveur DNS Only
4. Copiez la clé d’authentification /etc/dns_cluster.conf de WHM vers votre serveur DNS Only

Une fois connecté, les zones DNS dans WHM seront automatiquement synchronisées avec votre serveur DNS Only. Voir la documentation sur le clustering cPanel pour plus de détails.

Dépannage des problèmes courants

Voici quelques conseils pour résoudre les problèmes courants avec DNS Only :

Impossible d’accéder à l’interface web :

• Vérifiez que vous vous connectez au nom d’hôte et au port 2087 corrects
• Vérifiez que le pare-feu autorise le port 2087
• Essayez de redémarrer le service cpsrvd

Les modifications de zone ne fonctionnent pas :

• Incrémentez le numéro de série de la zone DNS lors de la modification
• Videz le cache DNS sur les clients et testez à nouveau
• Redémarrez le service PowerDNS pour charger les nouvelles données de zone

Échecs de validation DNSSEC :

• Assurez-vous que l’enregistrement DS est publié chez le registrar
• Vérifiez que la zone parente (.com, .net) a DNSSEC activé
• Utilisez dig pour vérifier que les enregistrements DNSKEY et DS sont disponibles

Échecs de synchronisation du cluster :

• Confirmez que /etc/dns_cluster.conf possède la clé d’authentification de WHM
• Vérifiez que le pare-feu autorise le trafic sur le port 40000 pour le clustering
• Recherchez les erreurs dans /var/log/cpdnsrsync.log
• Forcez la transmission des zones depuis WHM pour synchroniser les modifications

Cela couvre les étapes de dépannage les plus courantes. Consultez la documentation cPanel pour des conseils de débogage supplémentaires.

Conclusion

Dans ce guide complet, nous avons couvert les avantages de l’utilisation de cPanel DNS Only pour le DNS autoritatif, décrit les exigences d’installation et les prérequis, fourni des instructions d’installation étape par étape pour Ubuntu et AlmaLinux, discuté de la configuration post-installation comme la définition d’un mot de passe admin et d’un nom d’hôte, expliqué les considérations de sécurité importantes pour renforcer votre serveur DNS, détaillé comment activer les fonctionnalités DNSSEC avancées et décrit l’intégration de DNS Only dans un cluster DNS existant. En outre, des conseils de dépannage ont été fournis pour les problèmes courants. Maintenant, vous devriez avoir toutes les connaissances nécessaires pour mettre en place et exécuter un serveur DNS Only full-featured sur Linux, prêt à commencer à faire passer l’infrastructure DNS de vos domaines au niveau supérieur ! Faites-moi savoir dans les commentaires si vous avez d’autres questions.