Full Circle Magazine FR

Outils pour utilisateurs

Outils du site

Piste :
issue137:tutoriel1

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
issue137:tutoriel1 [2018/10/09 08:03] d52frissue137:tutoriel1 [2018/10/12 15:07] (Version actuelle) auntiee
Ligne 9: Ligne 9:
 Today I am going to show you how to set up DNScrypt on Ubuntu 18.04. Take that, Mr ISP, and anyone else trying to map your internet usage!** Today I am going to show you how to set up DNScrypt on Ubuntu 18.04. Take that, Mr ISP, and anyone else trying to map your internet usage!**
  
-Version: dnscrypt-proxy 1.9.5+Version : dnscrypt-proxy 1.9.5
  
-Web: la version 2.0.15 a été publiée mais Ubuntu 18.04 utilise encore la 1.9.5+Web : la version 2.0.15 est sortie, mais Ubuntu 18.04 utilise encore la 1.9.5
  
-Chat : l'URL / lien officiel est : #dnscrypt-proxy:matrix.org+Chat : l'URL/lien officiel est : #dnscrypt-proxy:matrix.org
  
-Je suis une personne privée, et je n'aime pas que mon vie privée soit envahie. C'est une des principales raisons pour lesquelles j'utilise Linux.+Je suis une personne privée, et je n'aime pas que ma vie privée soit envahie. C'est une des principales raisons pour lesquelles j'utilise Linux.
  
-Aujourd'hui, je vais vous montrer comment paramétrer DNSCrypt sur Ubuntu 18.04. Prenez ça, M. ISP, ainsi que tout autre personne essayant de décider de mon usage d'Internet !+Aujourd'hui, je vais vous montrer comment paramétrer DNSCrypt sur Ubuntu 18.04. Prenez ça, M. ISP, ainsi que toute autre personne essayant de suivre mon usage d'Internet !
    
 **Whether you like it or not, you are a commodity, you are being bought and sold all over the world.  **Whether you like it or not, you are a commodity, you are being bought and sold all over the world. 
Ligne 26: Ligne 26:
 Let me tell you more about the protocol. Those of you who have no interest in this can skip to the next section. I promise to keep this section short. DNSCrypt is a protocol that authenticates communications between a DNS client and a DNS resolver.** Let me tell you more about the protocol. Those of you who have no interest in this can skip to the next section. I promise to keep this section short. DNSCrypt is a protocol that authenticates communications between a DNS client and a DNS resolver.**
  
-Que vous aimiez ça ou non, vous êtes un consommable, vous êtes achetez et vendu partout dans le monde. Améliorez votre sécurité et le respect de votre vie privée en suivant ce guide.+Que vous aimiez ça ou non, vous êtes une marchandise ; vous êtes achetés et vendus partout dans le monde. Améliorez votre sécurité et le respect de votre vie privée en suivant ce guide.
  
-DNSCrypt transforme le trafic DNS normal en trafic DNS chiffré ce qui vous protège contre les attaques par écoute clandestine (eavesdropping) et « man-in-the-middle » (litt., homme au milieu). De la même façon que HTTPS protège maintenant votre trafic sur Internet, DNSCrypt sécurise votre trafic DNS. (Ceci dit, ce n'est pas une solution complète).+DNSCrypt transforme le trafic DNS normal en trafic DNS chiffréce qui vous protège contre les attaques par écoute clandestine (eavesdropping) et « homme-au-milieu » (man-in-the-middle). De la même façon que HTTPS protège maintenant votre trafic sur Internet, DNSCrypt sécurise votre trafic DNS. (Cela dit, ce n'est pas une solution complète).
  
-Laissez-moi vous en dire plus sur le protocole. Ceux d'entre vous qui n'trouve aucun intérêt peuvent passer à la section suivante. Je vous promets que cette section sera courte. DNSCrypt est un protocole qui authentifie les communications entre un client DNS et un « resolver » (une sorte de bibliothèque) DNS.+Laissez-moi vous en dire plus sur le protocole. Ceux d'entre vous qui n'trouvent aucun intérêt peuvent passer à la section suivante. Je vous promets que cette section sera courte. DNSCrypt est un protocole qui authentifie les communications entre un client DNS et un « resolver » (une sorte de bibliothèque) DNS.
    
 **The DNScrypt protocol works on both TCP connections and UDP connections. The default HTTPS port is 443, and this is what DNScrypt uses also. This will let it pass through most firewalls unhindered. For those of you interested, you can find a list of ports here: http://www.hostingreviewbox.com/rhel-tcp-and-udp-ports/ **The DNScrypt protocol works on both TCP connections and UDP connections. The default HTTPS port is 443, and this is what DNScrypt uses also. This will let it pass through most firewalls unhindered. For those of you interested, you can find a list of ports here: http://www.hostingreviewbox.com/rhel-tcp-and-udp-ports/
Ligne 38: Ligne 38:
 So… From your computer or laptop (client), a DNSCrypt session begins with the client sending a non-authenticated DNS query to a DNSCrypt-enabled resolver, such as OpenDNS.** So… From your computer or laptop (client), a DNSCrypt session begins with the client sending a non-authenticated DNS query to a DNSCrypt-enabled resolver, such as OpenDNS.**
  
-Le protocole DNSCrypt fonctionne avec les connexions TCP et les UDP. Le port HTTPS par défaut est 443, et DNSCrypt l'utilise aussi. Celui-ci le laissera passer passer sans entrave à travers la plupart des pare-feux. Pour ceux d'entre vous qui sont intéressés, vous pouvez trouver une lise des ports ici : http://www.hostingreviewbox.com/rhel-tcp-and-udp-ports/+Le protocole DNSCrypt fonctionne avec les connexions TCP et UDP. Le port HTTPS par défaut est 443, et DNSCrypt l'utilise aussi. Celui-là le laissera passer sans entrave à travers la plupart des pare-feux. Pour ceux d'entre vous qui sont intéressés, vous pouvez trouver une liste des ports ici : http://www.hostingreviewbox.com/rhel-tcp-and-udp-ports/
  
-Le client comme le resolver génèrent initialement une paire de clés temporaires pour chaque système de chiffrage supporté. Chaque certificat inclut une période de validité, un numéro de série, une version qui définit un mécanisme d'échange de clés, un algorithme authentifié de chiffrage et ses paramètres, tout comme une clé publique à courte durée de vie, connue comme la clé publique du resolver.+Le client comme le resolver génèrent initialement une paire de clés temporaires pour chaque système de chiffrage pris en charge. Chaque certificat comprend une période de validité, un numéro de série, une version qui définit un mécanisme d'échange de clés, un algorithme authentifié de chiffrage et ses paramètres, ainsi qu'une clé publique à courte durée de vie, appelée la clé publique du resolver.
  
-Voilà… Depuis votre ordinateur ou portable (client), une session DNSCrypt commence quand le client envoie une requête DNS non authentifiée à un resolver activé pour DNSCrypt, tel que OpenDNS.+Voilà... Depuis votre ordinateur ou portable (client), une session DNSCrypt commence quand le client envoie une requête DNS non authentifiée à un resolver activé pour DNSCrypt, tel que OpenDNS.
    
 **This DNS query encodes the certificate versions supported by the client, as well as a public identifier of the provider requested by the client.  **This DNS query encodes the certificate versions supported by the client, as well as a public identifier of the provider requested by the client. 
Ligne 52: Ligne 52:
 The encryption algorithm, resolver public key and client magic number from the chosen certificate are then used by the client to send encrypted queries. These queries include the client public key.** The encryption algorithm, resolver public key and client magic number from the chosen certificate are then used by the client to send encrypted queries. These queries include the client public key.**
  
-Cette requête DNS encode les versions de certificats supportés par le client, ainsi qu'un identifiant public du fournisseur interrogé par le client.+Cette requête DNS encode les versions de certificats prises en charge par le client, ainsi qu'un identifiant public du fournisseur demandé par le client.
  
 Le serveur (resolver) répond avec un jeu de certificats publics signés, qui doivent être vérifiés par le client en utilisant une clé publique du fournisseur. Le serveur (resolver) répond avec un jeu de certificats publics signés, qui doivent être vérifiés par le client en utilisant une clé publique du fournisseur.
  
-Chaque certificat comprend un « nombre magique » que le client doit préfixer sur toutes ses requêtes, pour que le resolver sache quel certificat a été choisi par le client avant de faire quoi que ce soit.+Chaque certificat comprend un « nombre magique » que le client doit préfixer sur toutes ses requêtes, pour que, avant de faire quoi que ce soit, le resolver sache quel certificat a été choisi par le client.
  
-L'algorithme de chiffrage, la clé publique du resolver et le nombre magique du client tirée du certificat choisi sont ensuite utilisés par le client pour envoyer des requêtes chiffrées. Ces requêtes contiennent la clé publique du client.+L'algorithme de chiffrage, la clé publique du resolver et le nombre magique du client tirés du certificat choisi sont ensuite utilisés par le client pour envoyer des requêtes chiffrées. Ces requêtes contiennent la clé publique du client.
    
 **Using this client public key, and knowing which certificate was chosen by the client as well as the relevant secret key, the resolver verifies and decrypts the query, and encrypts the response the same way. **Using this client public key, and knowing which certificate was chosen by the client as well as the relevant secret key, the resolver verifies and decrypts the query, and encrypts the response the same way.
Ligne 76: Ligne 76:
 sudo sed -i 's/fvz-anyone/cisco/g' /etc/dnscrypt-proxy/dnscrypt-proxy.conf** sudo sed -i 's/fvz-anyone/cisco/g' /etc/dnscrypt-proxy/dnscrypt-proxy.conf**
  
-En utilisant cette clé publique du client et en sachant quel est le certificat choisi par le client tout comme la clé secrète correspondante, le resolver vérifie et déchiffre la requêteet chiffre la réponse de la même façon.+En utilisant cette clé publique du client et en sachant quel est le certificat choisi par le client ainsi que la clé secrète correspondante, le resolver vérifie et déchiffre la requête et chiffre la réponse de la même façon.
  
-DNSCrypt ne doit pas être confondu avec DoH (pas celui de arkanoid), qui est un DNS sur du HTTPS. Ceci est un projet de la fondation Mozilla.+DNSCrypt ne doit pas être confondu avec DoH (pas celui d'arkanoid), qui est un DNS sur HTTPS. Ceci est un projet de la fondation Mozilla.
  
-Si vous n'êtes pas sûr à 100% de votre dextérité pour la ligne de commande, merci de sauvegarder les fichiers que vous voulez modifier, AVANT de les modifier !+Si vous ne maîtrisez pas la ligne de commande à 100 %, merci de sauvegarder les fichiers que vous voulez modifier, AVANT de les modifier !
  
 Ouvrez un terminal et saisissez ce qui suit : Ouvrez un terminal et saisissez ce qui suit :
Ligne 100: Ligne 100:
 Change the text 'ResolverName fvz-anyone' to 'ResolverName cisco'** Change the text 'ResolverName fvz-anyone' to 'ResolverName cisco'**
  
-Explication : sed est un éditeur de flux, le s indique une substitution, le g veut dire globalement. Le commutateur « -i » signifie à la place. S, d'abord, nous avons l'expression que nous voulons substituer suivie par celle qui la remplacera, puis immédiatement suivie par le chemin du fichier. La première ligne remplace le resolver par défaut fvz-anyone par cisco. Vous n'êtes pas obligé de choisir Cisco ; il y a de nombreux resolvers, mais j'ai choisi Cisco pour cet exemple. Une liste de resolvers peut être trouvé ici : https://github.com/dyne/dnscrypt-proxy/blob/master/dnscrypt-resolvers.csv+Explication : sed est un éditeur de flux, le s indique une substitution, le g veut dire globalement. Le commutateur « -i » signifie à la place. Après s, nous avons, d'abord, l'expression que nous voulons remplacer, suivie par celle qui la remplacera, puis immédiatement suivie par le chemin du fichier. La première ligne remplace le resolver par défaut fvz-anyone par cisco. Vous n'êtes pas obligé de choisir Cisco ; il y a de nombreux resolvers, mais j'ai choisi Cisco pour cet exemple. Une liste de resolvers peut être trouvée ici : https://github.com/dyne/dnscrypt-proxy/blob/master/dnscrypt-resolvers.csv
    
 Vous pouvez, bien sûr, le faire aussi à la main :  Vous pouvez, bien sûr, le faire aussi à la main : 
Ligne 126: Ligne 126:
 In previous versions of Ubuntu, you simply had to point your DNS entry in network manager to 127.0.2.1. In 18.04, we need to change it to 127.0.0.1 (localhost), however bionic beaver is not happy with this. ** In previous versions of Ubuntu, you simply had to point your DNS entry in network manager to 127.0.2.1. In 18.04, we need to change it to 127.0.0.1 (localhost), however bionic beaver is not happy with this. **
  
-Ne modifiez pas l'adresse locale. Comme tout ce que vous modifiez dans le répertoire /etc, faites  d'abord une sauvegarde du fichier !+Ne modifiez pas l'adresse locale. Comme pour toutes les modifications dans le répertoire /etc, faites d'abord une sauvegarde du fichier !
  
 Maintenant que vous comprenez la syntaxe de sed, continuons : Maintenant que vous comprenez la syntaxe de sed, continuons :
Ligne 142: Ligne 142:
 ListenDatagram=127.0.0.1:53 ListenDatagram=127.0.0.1:53
  
-Dans les versions précédentes d'Ubuntu, vous deviez simplement faire pointer votre entrée DNS dans le gestionnaire de réseau vers 127.0.2.1. Dans 18.04, nous devons le changer en 127.0.0.1 (localhost) ; cependant, bionic beaver n'est content de cela.+Dans les versions précédentes d'Ubuntu, vous deviez simplement faire pointer votre entrée DNS dans le gestionnaire de réseau vers 127.0.2.1. Dans la 18.04, nous devons le changer en 127.0.0.1 (localhost) ; cependant, bionic beaver n'aime pas cela.
    
 **Now, let’s use systemd to stop and start the services, etc: **Now, let’s use systemd to stop and start the services, etc:
Ligne 178: Ligne 178:
 sudo systemctl stop systemd-resolved sudo systemctl stop systemd-resolved
  
-Arrivés ici, vous perdez votre connexion à Internet.+À ce stade, vous pouvez perdre votre connexion à Internet.
    
 **If you desperately need a connection before we continue to the next part, simply type the following: **If you desperately need a connection before we continue to the next part, simply type the following:
Ligne 194: Ligne 194:
 sudo nano /etc/NetworkManager/NetworkManager.conf** sudo nano /etc/NetworkManager/NetworkManager.conf**
  
-Si vous avez désespéramment besoin d'une connexion avant que nous continuions dans l'article suivant saisissez simplement ce qui suit :+Si vous avez désespérément besoin d'une connexion avant de passer à l'étape suivante, saisissez simplement ce qui suit :
  
 sudo nano /etc/resolv.conf sudo nano /etc/resolv.conf
  
-Vous verrez qu' Ubuntu a changé le « nameserver » (serveur de nom) en 127.0.0.53 ; ne vous inquiétez pas et changez-le simplement en 127.0.0.1 et sauvegardez. Si vous n'avez toujours pas de connexion, remplacez-le par 1.1.1.1 ; ceci devrait résoudre votre problème de connexion. Rappelez-vous juste que en le changeant en 1.1.1.1, vous N'utilisez PAS le proxy DNSCrypt, mais directement Cloudflare.+Vous verrez qu'Ubuntu a changé le « nameserver » (serveur de nom) en 127.0.0.53 ; ne vous inquiétez paschangez-le simplement en 127.0.0.1 et sauvegardez-le. Si vous n'avez toujours pas de connexion, remplacez-le par 1.1.1.1 ; ceci devrait résoudre votre problème de connexion. Toutefois, rappelez-vous qu'en le changeant en 1.1.1.1, vous n'utilisez PAS le proxy DNSCrypt, mais directement Cloudflare.
  
-Ce problème est rapidement rectifié en installant et en configurant unbound. Unbound est un resolver DNS cache de validation, récursif.+Ce problème est rapidement rectifié en installant et en configurant unbound. Unbound est un resolver DNS de validation, avec une cache et récursif.
  
 apt-get install unbound apt-get install unbound
  
 Une fois terminé, ajoutez « dns=unbound » dans la section [main] de NetworkManager.conf. Une fois terminé, ajoutez « dns=unbound » dans la section [main] de NetworkManager.conf.
 +
 +sudo nano /etc/NetworkManager/NetworkManager.conf
    
 **Under the [main] section, there should already be:  **Under the [main] section, there should already be: 
Ligne 224: Ligne 226:
 Dans la section [main], il devrait y avoir : Dans la section [main], il devrait y avoir :
  
-plugins=ifupdown,keyfile+       plugins=ifupdown,keyfile
  
-Ajoutez juste dns=unbound en dessous.+Ajoutez dns=unbound en dessous.
  
 Sauvegardez et sortez de nano. Sauvegardez et sortez de nano.
Ligne 254: Ligne 256:
 TCP and UDP should both point to 127.0.0.1** TCP and UDP should both point to 127.0.0.1**
  
-Après redémarrage, testons notre travail manuel/+Après le redémarrage, nous allons tester notre travail.
  
 Ouvrez un navigateur et allez à : https://welcome.opendns.com/ Vous devriez voir une coche. Ouvrez un navigateur et allez à : https://welcome.opendns.com/ Vous devriez voir une coche.
Ligne 268: Ligne 270:
 sudo lsof -i -n | grep -i dnscrypt sudo lsof -i -n | grep -i dnscrypt
  
-TCP et UDP devraient pointer tous les deux sur 127.0.0.1.+TCP et UDP devraient pointer tous les deux vers 127.0.0.1.
    
 **Let’s get a quick overview of unbound and a link to more information. **Let’s get a quick overview of unbound and a link to more information.
Ligne 281: Ligne 283:
 The book is available free of charge.** The book is available free of charge.**
  
-Voici un bref aperçu sur undbound et un lien pour de plus amples informations.+Voici une brève description de undbound et un lien pour de plus amples informations.
  
-Unbound est une alternative à BIND - cherchant à être plus rapide et plus sûr. Unbound est Open Source.+Unbound est une alternative à BIND, se voulant plus rapide et plus sûr. Unbound est Open Source.
  
 Site Web : https://www.unbound.net/ Site Web : https://www.unbound.net/
issue137/tutoriel1.1539065019.txt.gz · Dernière modification : 2018/10/09 08:03 de d52fr