Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
dnscrypt [Le 04/08/2017, 23:17] deobs [Configuration] |
dnscrypt [Le 11/09/2022, 11:26] (Version actuelle) moths-art Suppression des espaces en fin de ligne (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892) |
||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| - | {{tag>Zesty réseau internet sécurité}} | + | {{tag>Xenial réseau internet sécurité}} |
| ---- | ---- | ||
| + | {{ :dnscrypt.png?nolink&200|}} | ||
| ====== DNSCrypt ====== | ====== DNSCrypt ====== | ||
| - | {{:dnscrypt.png?nolink&200|}} DNSCrypt est un protocole qui authentifie les communications entre un client DNS et un résolveur DNS. Cela empêche la falsification de DNS. Il utilise des signatures cryptographiques pour vérifier que les réponses proviennent du résolveur DNS choisi et n'ont pas été falsifiées. | + | DNSCrypt est un protocole qui authentifie les communications entre un client DNS et un résolveur [[wpfr>DNS]]. Cela empêche la falsification de DNS. Il utilise des signatures cryptographiques pour vérifier que les réponses proviennent du résolveur DNS choisi et n'ont pas été falsifiées. |
| C'est une spécification ouverte, avec des implémentations de référence gratuites et opensource, et elle n'est affiliée à aucune entreprise ni organisation. | C'est une spécification ouverte, avec des implémentations de référence gratuites et opensource, et elle n'est affiliée à aucune entreprise ni organisation. | ||
| Ligne 15: | Ligne 16: | ||
| ===== Installation ===== | ===== Installation ===== | ||
| - | * [[:tutoriel:comment_installer_un_paquet|Installez le paquet]] [[apt>dnscrypt-proxy]] | + | [[:tutoriel:comment_installer_un_paquet|Installez le paquet]] [[apt>dnscrypt-proxy]] |
| - | <note>Optionnellement [[apt>dnscrypt-proxy-plugins]], donne beaucoup de contrôle sur le trafic DNS local: | + | <note> |
| - | + | Optionnellement [[apt>dnscrypt-proxy-plugins]], donne beaucoup de contrôle sur le trafic DNS local: | |
| - | * Passez en revue le trafic DNS provenant de votre réseau en temps réel et détectez les hôtes et applications compromises. | + | * Passer en revue le trafic DNS provenant de votre réseau en temps réel et détecter les hôtes et applications compromises. |
| - | + | * Bloque localement les publicités, les trackers, les logiciels malveillants, les spams et tout site Web dont les noms de domaine ou les adresses IP correspondent à un ensemble de règles que vous définissez. | |
| - | * Bloque localement les publicités, les trackers, les logiciels malveillants, les spams et tout site Web dont les noms de domaine ou les adresses IP correspondent à un ensemble de règles que vous définissez. | + | * Empêcher que les requêtes concernant les zones locales soient divulguées. |
| - | + | * Réduire la latence en cas de mise en cache des réponses et éviter de demander des adresses IPv6 sur les réseaux IPv4 uniquement. | |
| - | * Empêcher que les requêtes concernant les zones locales soient divulguées. | + | * Forcer le trafic à utiliser TCP, pour l'acheminer via des tunnels TCP uniquement ou Tor. 8-) |
| - | + | </note> | |
| - | * Réduire la latence en cas de mise en cache des réponses et éviter de demander des adresses IPv6 sur les réseaux IPv4 uniquement. | + | |
| - | + | ||
| - | * Forcer le trafic à utiliser TCP, pour l'acheminer via des tunnels TCP uniquement ou Tor. 8-)</note> | + | |
| ===== Configuration ===== | ===== Configuration ===== | ||
| Ligne 33: | Ligne 31: | ||
| Pour configurer dnscrypt-proxy, procédez comme suit: | Pour configurer dnscrypt-proxy, procédez comme suit: | ||
| - | <note important>Un exemple de fichier de configuration, ''/usr/share/doc/dnscrypt-proxy/examples/dnscrypt-proxy.conf'' est fourni mais notez que sytemd outrepasse l'option ''LocalAddress'' par un fichier socket</note> | + | <note important>Un fichier de conf bien plus complet est [[https://raw.githubusercontent.com/jedisct1/dnscrypt-proxy/master/dnscrypt-proxy.conf|disponible sur github]]\\ |
| - | <note help>Un fichier de conf bien plus complet est [[https://raw.githubusercontent.com/jedisct1/dnscrypt-proxy/master/dnscrypt-proxy.conf|disponnible sur github]]</note> | + | :!: Cependant prenez bien garde de bien corriger les différents chemin d'accès. En effet, ceux-ci non prévus pour Debian/Ubuntu (et dérivés) sont sous la forme **/etc/dnscrypt-proxy.conf** alors que ce devrait être **/etc/dnscrypt-proxy/dnscrypt-proxy.conf** ou encore **/usr/local/share/dnscrypt-proxy/dnscrypt-resolvers.csv** a la place de **/usr/share/dnscrypt-proxy/dnscrypt-resolvers.csv**\\ |
| + | :!: Notez que sytemd outrepasse l'option ''**LocalAddress**'' par un fichier socket et doit donc être commentée dans le fichier de conf</note> | ||
| - | ==== Sélectionnez le résolveur ==== | + | ==== Sélectionner le résolveur ==== |
| - | Sélectionnez un résolveur à partir de ''/usr/share/dnscrypt-proxy/dnscrypt-resolvers.csv'' et [[:tutoriel:comment_modifier_un_fichier|modifiez]] **/etc/dnscrypt-proxy/dnscrypt-proxy.conf**, en utilisant un nom abrégé de la première colonne du fichier csv. Par exemple, pour sélectionner ''dnscrypt.eu-nl'' comme résolveur: | + | Sélectionnez un résolveur à partir de ''/usr/share/dnscrypt-proxy/dnscrypt-resolvers.csv'' et [[:tutoriel:comment_modifier_un_fichier|modifiez]] **dnscrypt-proxy.conf** avec les [[:sudo|droits d'administration]], en utilisant un nom abrégé de la première colonne du fichier csv. Par exemple, pour sélectionner ''dnscrypt.eu-nl'' comme résolveur: |
| - | <file>ResolverName dnscrypt.eu-nl</file> | + | <file - /etc/dnscrypt-proxy/dnscrypt-proxy.conf>ResolverName dnscrypt.eu-nl |
| + | ResolversList /usr/share/dnscrypt-proxy/dnscrypt-resolvers.csv | ||
| + | # BlackList domains:"/etc/dnscrypt-proxy/dnscrypt-blacklist-domains.txt" | ||
| + | EDNSPayloadSize 1252 | ||
| + | Daemonize no | ||
| + | # LocalCache on</file> | ||
| - | <note tip>* Alternativement, "random" (sans guillemets) choisit un résolveur aléatoire, accessible sur IPv4, qui ne "log" pas et prend en charge DNSSEC. Pour cela veillez a bien renseigner ''ResolversList'' avec ''/usr/share/dnscrypt-proxy/dnscrypt-resolvers.csv'' dans **/etc/dnscrypt-proxy/dnscrypt-proxy.conf** | + | <note tip> |
| + | * Alternativement, "random" (sans guillemets) choisit un résolveur aléatoire, accessible sur IPv4, qui ne "log" pas et prend en charge DNSSEC. Pour cela veillez a bien renseigner ''ResolversList'' avec ''/usr/share/dnscrypt-proxy/dnscrypt-resolvers.csv'' dans **/etc/dnscrypt-proxy/dnscrypt-proxy.conf** | ||
| + | * Une liste potentiellement plus à jour est disponible directement sur [[https://github.com/jedisct1/dnscrypt-proxy/blob/master/dnscrypt-resolvers.csv|la page Github du projet]] | ||
| + | * <del>À ce stade, vous pouvez également ajouter un utilisateur non privilégié pour exécuter dnscrypt</del>. Voir [[#Dnscrypt fonctionne avec les privilèges root|Dépannage]] | ||
| + | </note> | ||
| - | * Une liste potentiellement plus à jour est disponible directement sur [[https://github.com/jedisct1/dnscrypt-proxy/blob/master/dnscrypt-resolvers.csv|la page Github du projet]] | ||
| - | * À ce stade, vous pouvez également ajouter un utilisateur non privilégié pour exécuter dnscrypt. Voir [[https://doc.ubuntu-fr.org/dnscrypt?do=edit#diagnostic_des_anomalies|Dépannage]]</note> | + | ==== Modifier le résolveur du système ==== |
| + | Vous devez maintenant indiquer au système sur quelle adresse contacter le résolveur de noms de domaine.\\ Pour cela faites un clic droit sur votre applet Network-Manager et cliquez sur éditer la connection. Choisissez votre type de connection, filaire ou sans fil, puis dans l'onglet IPv4 via le menu déroulant selectionnez //DHCP// __adresse only__.\\ | ||
| + | Enfin dans le champ pour indiquer les serveur DNS entrez ''**127.0.2.1**'' puis cliquez sur appliquer.\\ | ||
| + | Le fichier **/etc/resolv.conf** doit maintenant afficher: | ||
| + | <file>nameserver 127.0.2.1</file> | ||
| + | Pour les utilisateurs du bureau gnome le menu déroulant ne contient pas //DHCP// __adresse only__ selectionnez donc DHCP (automatique) et prenez soin de mettre DNS sur Off avant d'entrer ''**127.0.2.1**'' et d'appliquer\\ | ||
| - | ==== Modifiez le resolv.conf ==== | + | **:!: Attention**, d'autres programmes peuvent remplacer ce paramètre! [[##divers_processus_ecrasent_resolvconf|Voir 7.2]]\\ |
| - | Après avoir sélectionné un résolveur dnscrypt, modifiez le fichier **/etc/resolv.conf** et remplacez l'ensemble actuel d'adresses de résolveur par une adresse pour localhost: | + | === Ajout de filtres === |
| - | <file>nameserver 127.0.2.1</file> | + | Afin de profiter pleinement de Dnscrypt et dépolluer votre navigation sur le web, je vous propose d'utiliser la liste polyvalente [[https://download.dnscrypt.info/blacklists/domains/mybase.txt|MyBase]] qui est mise à jour quotidiennement à partir de sources publiques, afin de bloquer les logiciels malveillants, les publicités et les traceurs courants. 8-)\\ |
| - | **/!\ Attention**, d'autres programmes peuvent remplacer ce paramètre ! [[https://doc.ubuntu-fr.org/dnscrypt#network_manager_et_divers_autres_processus_ecrasentetcresolvconf|Voir 7.2]] | + | Pour cela il vous faut décommenter le paramètre ''**BlackList domains:/etc/dnscrypt-proxy/dnscrypt-blacklist-domains.txt**'' (enlever le # en début de ligne)\\ |
| + | Ensuite télèchargez puis déplacez la liste au bon endroit avec la commande suivante: | ||
| + | <code>wget https://download.dnscrypt.info/blacklists/domains/mybase.txt && sudo mv mybase.txt /etc/dnscrypt-proxy/dnscrypt-blacklist-domains.txt</code> | ||
| + | Exécutez a nouveau la commande pour mettre a jour la liste ! | ||
| ==== Démarrer le service systemd ==== | ==== Démarrer le service systemd ==== | ||
| - | Enfin, démarrez puis activez le service ''dnscrypt-proxy.service'' au démarrage de votre machine: | + | Enfin, démarrez puis activez le service ''dnscrypt-proxy.service'' au démarrage de votre machine via [[:systemd]]: |
| <code>sudo systemctl start dnscrypt-proxy.service</code> | <code>sudo systemctl start dnscrypt-proxy.service</code> | ||
| <code>sudo systemctl enable dnscrypt-proxy.service</code> | <code>sudo systemctl enable dnscrypt-proxy.service</code> | ||
| Ligne 68: | Ligne 83: | ||
| Félicitations, vous avez envoyé votre première requête cryptée et authentifiée en utilisant le protocole DNSCrypt! | Félicitations, vous avez envoyé votre première requête cryptée et authentifiée en utilisant le protocole DNSCrypt! | ||
| Pour confirmer que la réponse provient du résolveur que vous avez choisi et non de votre FAI: | Pour confirmer que la réponse provient du résolveur que vous avez choisi et non de votre FAI: | ||
| - | <code>hostip -r 127.0.2.1 resolver.dnscrypt.org</code> | + | <code>hostip -r 127.0.2.1 resolver.dnscrypt.info</code> |
| - | Cette requête spéciale (''resolver.dnscrypt.org'') renvoie l'adresse IP du résolveur que vous utiliserez probablement (et cela fonctionne avec ou sans DNSCrypt). Il devrait correspondre à l'adresse IP du résolveur que vous avez choisi. | + | Cette requête spéciale (''resolver.dnscrypt.info'') renvoie l'adresse IP du résolveur que vous utiliserez probablement (et cela fonctionne avec ou sans DNSCrypt). Il devrait correspondre à l'adresse IP du résolveur que vous avez choisi. |
| ===== Utilisation avec un DNS local ===== | ===== Utilisation avec un DNS local ===== | ||
| ==== Local DNS cache configuration ==== | ==== Local DNS cache configuration ==== | ||
| - | <note>Dnscrypt peut mettre en cache les entrées sans compter sur un autre programme. Assurez-vous que ''LocalCache on'' est décommenté dans votre fichier de configuration dnscrypt pour activer cette fonctionnalité.</note> | + | <note>Dnscrypt peut mettre en cache les entrées sans compter sur un autre programme. Assurez-vous que **''LocalCache on''** est décommenté dans votre fichier de configuration dnscrypt pour activer cette fonctionnalité.</note> |
| - | Il est recommandé d'éxécuter DNSCrypt en tant que redirecteur pour un cache DNS local si vous n'utilisez pas la fonctionnalité de cache de dnscrypt; sinon, chaque requête fera un aller-retour vers le résolveur en amont. Tout programme de mise en cache DNS local devrait fonctionner. En plus de configurer dnscrypt-proxy, vous devez configurer votre programme de cache DNS local. | + | Si vous n'utilisez pas la fonctionnalité de cache de dnscrypt il est recommandé d'éxécuter DNSCrypt en tant que redirecteur pour un cache DNS local ; sinon, chaque requête fera un aller-retour vers le résolveur en amont. Tout programme de mise en cache DNS local devrait fonctionner. En plus de configurer dnscrypt-proxy, vous devez configurer votre programme de cache DNS local. |
| ==== Changer le port ==== | ==== Changer le port ==== | ||
| Ligne 80: | Ligne 95: | ||
| <note>La modification de l'adresse IP ou du port dans ''/etc/dnscrypt-proxy/dnscrypt-proxy.conf'' ne fonctionne pas avec systemd et doit être modifiée dans le socket systemd fourni de la manière suivante.</note> | <note>La modification de l'adresse IP ou du port dans ''/etc/dnscrypt-proxy/dnscrypt-proxy.conf'' ne fonctionne pas avec systemd et doit être modifiée dans le socket systemd fourni de la manière suivante.</note> | ||
| Afin de transférer vers un cache DNS local, dnscrypt-proxy doit écouter sur un port différent du port 53 pardéfaut, car le cache DNS lui-même doit écouter sur le port 53 et interroger dnscrypt-proxy sur un autre port. Le numéro de port ''5353'' est utilisé à titre d'exemple dans cette section. Dans cet exemple, le numéro de port est supérieur à 1024, de sorte que ''dnscrypt-proxy'' n'est pas a être exécuté par root. Modifiez **dnscrypt-proxy.socket** avec le contenu suivant: | Afin de transférer vers un cache DNS local, dnscrypt-proxy doit écouter sur un port différent du port 53 pardéfaut, car le cache DNS lui-même doit écouter sur le port 53 et interroger dnscrypt-proxy sur un autre port. Le numéro de port ''5353'' est utilisé à titre d'exemple dans cette section. Dans cet exemple, le numéro de port est supérieur à 1024, de sorte que ''dnscrypt-proxy'' n'est pas a être exécuté par root. Modifiez **dnscrypt-proxy.socket** avec le contenu suivant: | ||
| - | <file>[Socket] | + | <file - /lib/systemd/system/dnscrypt-proxy.socket>[Socket] |
| ListenStream= | ListenStream= | ||
| ListenDatagram= | ListenDatagram= | ||
| Ligne 87: | Ligne 102: | ||
| <note important>Le port UDP 5353 est utilisé par Avahi (si installé et en cours d'exécution) et peut provoquer des avertissements dans le journal. Dans ce cas, utilisez le port 5354 par example.</note> | <note important>Le port UDP 5353 est utilisé par Avahi (si installé et en cours d'exécution) et peut provoquer des avertissements dans le journal. Dans ce cas, utilisez le port 5354 par example.</note> | ||
| - | ===== Example de configurations local DNS cache ===== | + | ===== Exemple de configurations local DNS cache ===== |
| Les configurations suivantes devraient fonctionner avec dnscrypt-proxy et assume qu'il écoute sur le port ''5353''. | Les configurations suivantes devraient fonctionner avec dnscrypt-proxy et assume qu'il écoute sur le port ''5353''. | ||
| ==== Unbound ==== | ==== Unbound ==== | ||
| - | Configurez [[https://doc.ubuntu-fr.org/unbound|Unbound]] à votre convenance et ajoutez les lignes suivantes à la fin de la section ''server'' dans **/etc/unbound/unbound.conf**: | + | Configurez [[:Unbound]] à votre convenance et ajoutez les lignes suivantes à la fin de la section ''server'': |
| - | <file>do-not-query-localhost: no | + | <file - /etc/unbound/unbound.conf>do-not-query-localhost: no |
| forward-zone: | forward-zone: | ||
| name: "." | name: "." | ||
| Ligne 103: | Ligne 118: | ||
| ==== dnsmasq ==== | ==== dnsmasq ==== | ||
| - | Configurez dnsmasq en tant que [[https://doc.ubuntu-fr.org/configuration_serveur_dns_dhcp#configuration_du_cache_dns|cache DNS local]]. La configuration de base dans **/etc/dnsmasq.conf** pour fonctionner avec DNSCrypt: | + | Configurez dnsmasq en tant que [[#configuration_du_cache_dns|cache DNS local]]. La configuration de base pour fonctionner avec DNSCrypt: |
| - | <file>no-resolv | + | <file - /etc/dnsmasq.conf>no-resolv |
| - | server=127.0.0.1#5353 | + | server=127.0.2.1#5353 |
| listen-address=127.0.0.1</file> | listen-address=127.0.0.1</file> | ||
| Si vous avez configuré DNSCrypt pour utiliser un résolveur avec la validation DNSSEC activée, assurez-vous de l'activer également dans **/etc/dnsmasq.conf**: | Si vous avez configuré DNSCrypt pour utiliser un résolveur avec la validation DNSSEC activée, assurez-vous de l'activer également dans **/etc/dnsmasq.conf**: | ||
| Ligne 113: | Ligne 128: | ||
| ==== Activer EDNS0 ==== | ==== Activer EDNS0 ==== | ||
| - | [[https://fr.wikipedia.org/wiki/EDNS|EDNS]] qui, entre autres, permettent à un client de préciser la taille d'une réponse via UDP. | + | [[wpfr>EDNS]] qui, entre autres, permettent à un client de préciser la taille d'une réponse via UDP. |
| Ajoutez la ligne suivante à votre **/etc/resolv.conf**: | Ajoutez la ligne suivante à votre **/etc/resolv.conf**: | ||
| <file>options edns0</file> | <file>options edns0</file> | ||
| Ligne 133: | Ligne 148: | ||
| <code>sudo useradd -r -d /var/dnscrypt -m -s /sbin/nologin dnscrypt</code> FIXME commande a vérifier ! | <code>sudo useradd -r -d /var/dnscrypt -m -s /sbin/nologin dnscrypt</code> FIXME commande a vérifier ! | ||
| - | Deux solutions possibles Modifier **/etc/dnscrypt-proxy/dnscrypt-proxy.conf**, en ajoutant le nouvel utilisateur: | + | Deux solutions possibles [[:tutoriel:comment_modifier_un_fichier|modifiez]] **/etc/dnscrypt-proxy/dnscrypt-proxy.conf** avec les [[:sudo|droits d'administration]], en ajoutant le nouvel utilisateur: |
| <file>User dnscrypt</file> | <file>User dnscrypt</file> | ||
| - | Sinon, vous devez utiliser User = dans l'unité ''dnscrypt-proxy.service'' de systemd: FIXME Formulation a revoir ! | + | Sinon, vous devez utiliser User = dans la section [Service] ''dnscrypt-proxy.service'' de [[:systemd]]: FIXME Formulation a revoir ! |
| - | <file>[Service] | + | <file - /lib/systemd/system/dnscrypt-proxy.service>[Service] |
| User=dnscrypt | User=dnscrypt | ||
| CapabilityBoundingSet=CAP_NET_BIND_SERVICE</file> | CapabilityBoundingSet=CAP_NET_BIND_SERVICE</file> | ||
| Cette deuxième option est utile lors de l'utilisation d'un serveur de mise en cache comme Unbound et est préférable, puisque l'unité n'est pas exécutée en tant que root en premier lieu. Si vous avez changé le port vers un non-privilégié (par exemple 5353), ''CapabilityBoundingSet = CAP_NET_BIND_SERVICE'' n'est pas nécessaire. | Cette deuxième option est utile lors de l'utilisation d'un serveur de mise en cache comme Unbound et est préférable, puisque l'unité n'est pas exécutée en tant que root en premier lieu. Si vous avez changé le port vers un non-privilégié (par exemple 5353), ''CapabilityBoundingSet = CAP_NET_BIND_SERVICE'' n'est pas nécessaire. | ||
| - | ==== Network Manager et divers autres processus écrasent /etc/resolv.conf ==== | + | ==== Divers processus écrasent resolv.conf ==== |
| Il s'agit généralement d'un comportement souhaitable, mais parfois, les paramètres DNS doivent être définis manuellement (par exemple lors de l'utilisation d'une adresse IP statique). Il existe plusieurs façons d'y parvenir. | Il s'agit généralement d'un comportement souhaitable, mais parfois, les paramètres DNS doivent être définis manuellement (par exemple lors de l'utilisation d'une adresse IP statique). Il existe plusieurs façons d'y parvenir. | ||
| === Avec Network Manager === | === Avec Network Manager === | ||
| - | Pour empêcher NetworkManager de modifier **/etc/resolv.conf**, [[:tutoriel:comment_modifier_un_fichier|Modifiez]] **/etc/NetworkManager/NetworkManager.conf** et ajoutez ce qui suit dans la section [main]: | + | NetworkManager enregistre ses paramètres dans **/etc/NetworkManager/system-connections/nom-de-la-connection**. |
| + | Example pour une connection filaire: | ||
| + | <file - /etc/NetworkManager/system-connections/Wired connection 1>[802-3-ethernet] | ||
| + | duplex=full | ||
| + | mac-address=XX:XX:XX:XX:XX:XX | ||
| + | |||
| + | [connection] | ||
| + | id=Wired connection 1 | ||
| + | uuid=xxx-xxxxxx-xxxxxx-xxxxxx-xxx | ||
| + | type=802-3-ethernet | ||
| + | timestamp=1385213042 | ||
| + | |||
| + | [ipv6] | ||
| + | method=auto | ||
| + | |||
| + | [ipv4] | ||
| + | method=auto | ||
| + | dns=127.0.2.1; | ||
| + | ignore-auto-dns=true</file> | ||
| + | Cette 1ère solution est a privilégier. | ||
| + | |||
| + | Alternativement, pour empêcher NetworkManager de modifier **/etc/resolv.conf**, [[:tutoriel:comment_modifier_un_fichier|Modifiez]] **/etc/NetworkManager/NetworkManager.conf** et ajoutez ce qui suit dans la section [main]: | ||
| <file>dns=none</file> | <file>dns=none</file> | ||
| ''/etc/resolv.conf'' peut être un lien symbolique brisé que vous devrez supprimer après avoir fait cela. Ensuite, créez simplement un nouveau fichier ''/etc/resolv.conf''. | ''/etc/resolv.conf'' peut être un lien symbolique brisé que vous devrez supprimer après avoir fait cela. Ensuite, créez simplement un nouveau fichier ''/etc/resolv.conf''. | ||
| + | |||
| + | === Avec Resolvconf === | ||
| + | Si le programme resolvconf est installé, vous ne devez pas modifier le fichier de configuration resolv.conf manuellement car il sera modifié dynamiquement par les programmes du système. Pour définir manuellement les serveurs de noms (comme avec une interface statique), ajoutez une ligne comme suit dans le fichier de configuration d'interfaces dans **/etc/network/interfaces**: | ||
| + | <file>dns-nameservers 127.0.2.1</file> | ||
| + | |||
| + | === Avec DHCP Client === | ||
| + | Exemple: dhclient3 utilise **/etc/dhcp/dhclient.conf**. Le réglage que vous voulez est | ||
| + | <file>supersede domain-name-servers 127.0.2.1;</file> | ||
| + | ou peut-être | ||
| + | <file>prepend domain-name-servers 127.0.2.1;</file> | ||
| + | Prenez garde de bien fermer la ligne avec un ; | ||
| + | Voir la page de manuel dhclient.conf (5) pour plus de détails. | ||
| === Protection contre l'écriture === | === Protection contre l'écriture === | ||
| Ligne 152: | Ligne 200: | ||
| <code>sudo chattr +i /etc/resolv.conf</code> pour dévérouiller la protection, éxécutez: | <code>sudo chattr +i /etc/resolv.conf</code> pour dévérouiller la protection, éxécutez: | ||
| <code>sudo chattr -i /etc/resolv.conf</code> | <code>sudo chattr -i /etc/resolv.conf</code> | ||
| + | FIXME : Trouver une solution plus élegante qui ne contrarie pas le comportement d'autres services | ||
| ===== Désinstallation ===== | ===== Désinstallation ===== | ||
| - | Pour supprimer cette application, il suffit de [[:tutoriel:comment_supprimer_un_paquet|Supprimez les paquets]] [[apt>dnscrypt-proxy]] et [[apt>dnscrypt-proxy-plugins]]. Selon la méthode choisie, la configuration globale de l'application est conservée ou supprimée. Les journaux du système, et les fichiers de préférence des utilisateurs dans leurs dossiers personnels sont toujours conservés. | + | Pour supprimer cette application, il suffit de [[:tutoriel:comment_supprimer_un_paquet|Supprimez les paquets]] ''**dnscrypt-proxy**'' et ''**dnscrypt-proxy-plugins**''. Selon la méthode choisie, la configuration globale de l'application est conservée ou supprimée. Les journaux du système, et les fichiers de préférence des utilisateurs dans leurs dossiers personnels sont toujours conservés. |
| ===== Voir aussi ===== | ===== Voir aussi ===== | ||
| - | * **(en)** [[https://dnscrypt.org|Site officiel du logiciel]] | + | * **(en)** [[https://dnscrypt.info|Site officiel de DNSCrypt]] |
| - | * **(en)** [[https://github.com/jedisct1/dnscrypt-proxy/blob/master/dnscrypt-resolvers.csv|la page Github du projet]] | + | * **(en)** [[https://github.com/DNSCrypt|La page Github du projet]] |
| - | + | * **(fr)** [[https://forum.ubuntu-fr.org/viewtopic.php?id=2012964|Sujet sur le forum Ubuntu-fr]] | |
| ---- | ---- | ||
| //Contributeurs principaux : [[utilisateurs:deobs|deobs]].// | //Contributeurs principaux : [[utilisateurs:deobs|deobs]].// | ||
| - | //Basé sur [[https://wiki.archlinux.org/index.php/DNSCrypt|A protocol to improve DNS security]] par [[https://github.com/jedisct1]] mainteneur actuel.// | + | //Basé sur [[https://wiki.archlinux.org/index.php/DNSCrypt|ArchWiki]] et [[https://github.com/DNSCrypt/dnscrypt-proxy/wiki|A protocol to improve DNS security]] par [[https://github.com/jedisct1]] mainteneur actuel.// |