使用 DNS over TLS | Linux 中国
https://linux.cn/article-12483-1.html
作者:Thomas Bianchi
译者:geekpi
幸运的是,现在有 DNS over TLS 和 DNSSEC 两种技术。DNS over TLS 和 DNSSEC 允许创建从计算机到它配置的 DNS 服务器之间的安全且加密的端到端隧道。在 Fedora 上,部署这些技术的步骤很容易,并且所有必要的工具也很容易获得。
步骤 1:设置 systemd-resolved
类似于下面所示修改
/etc/systemd/resolved.conf
。确保启用 DNS over TLS 并配置要使用的 DNS 服务器的 IP 地址。$ cat/etc/systemd/resolved.conf
[Resolve]
DNS=1.1.1.19.9.9.9
DNSOverTLS=yes
DNSSEC=yes
FallbackDNS=8.8.8.81.0.0.18.8.4.4
#Domains=~.
#LLMNR=yes
#MulticastDNS=yes
#Cache=yes
#DNSStubListener=yes
#ReadEtcHosts=yes
关于选项的简要说明:
DNS
:以空格分隔的 IPv4 和 IPv6 地址列表,用作系统 DNS 服务器。FallbackDNS
:以空格分隔的 IPv4 和 IPv6 地址列表,用作后备 DNS 服务器。Domains
:在解析单标签主机名时,这些域名用于搜索后缀。 ~.
代表对于所有域名,优先使用 DNS=
定义的系统 DNS 服务器。DNSOverTLS
:如果启用,那么将加密与服务器的所有连接。请注意,此模式要求 DNS 服务器支持 DNS-over-TLS,并具有其 IP 的有效证书。注意:上面示例中列出的 DNS 服务器是我个人的选择。你要确定要使用的 DNS 服务器。要注意你要向谁请求 IP。
步骤 2:告诉 NetworkManager 将信息推给 systemd-resolved
在
/etc/NetworkManager/conf.d
中创建一个名为 10-dns-systemd-resolved.conf
的文件。$ cat/etc/NetworkManager/conf.d/10-dns-systemd-resolved.conf
[main]
dns=systemd-resolved
上面的设置(
dns=systemd-resolved
)让 NetworkManager
将从 DHCP 获得的 DNS 信息推送到 systemd-resolved
服务。这将覆盖步骤 1 中配置的 DNS 设置。这在受信任的网络中没问题,但是也可以设置为 dns=none
从而使用 /etc/systemd/resolved.conf
中配置的 DNS 服务器。步骤 3:启动和重启服务
若要使上述步骤中的配置生效,请启动并启用
systemd-resolved
服务。然后重启 NetworkManager
服务。注意:在
NetworkManager
重启时,连接会中断几秒钟。$ sudosystemctl start systemd-resolved
$ sudosystemctl enable systemd-resolved
$ sudosystemctl restart NetworkManager
注意:目前,systemd-resolved 服务默认处于禁用状态,是可选使用的。[有计划][33]在 Fedora 33 中默认启用systemd-resolved。
步骤 4:检查是否一切正常
现在,你应该在使用 DNS over TLS。检查 DNS 解析状态来确认这一点:
$ resolvectl status
MulticastDNS setting:yes
DNSOverTLS setting:yes
DNSSEC setting:yes
DNSSEC supported:yes
Current DNS Server:1.1.1.1
DNS Servers:1.1.1.1
9.9.9.9
Fallback DNS Servers:8.8.8.8
1.0.0.1
8.8.4.4
/etc/resolv.conf
应该指向 127.0.0.53
。$ cat/etc/resolv.conf
#Generated by NetworkManager
search lan
nameserver 127.0.0.53
若要查看
systemd-resolved
发送和接收安全查询的地址和端口,请运行:$ sudoss-lntp |grep'\(State\|:53 \)'
StateRecv-Q Send-Q LocalAddress:PortPeerAddress:PortProcess
LISTEN 04096127.0.0.53%lo:530.0.0.0:*users:(("systemd-resolve",pid=10410,fd=18))
若要进行安全查询,请运行:
$ resolvectl query fedoraproject.org
fedoraproject.org:8.43.85.67--link: wlp58s0
8.43.85.73--link: wlp58s0
[..]
--Information acquired via protocol DNS in36.3ms.
--Datais authenticated:yes
额外步骤 5:使用 Wireshark 验证配置
首先,安装并运行 Wireshark:
$ sudo dnf install wireshark
$ sudo wireshark
它会询问你在哪个设备上捕获数据包。在我这里,因为我使用无线接口,我用的是
wlp58s0
。在 Wireshark 中设置筛选器,tcp.port == 853
(853 是 DNS over TLS 协议端口)。在捕获 DNS 查询之前,你需要刷新本地 DNS 缓存:$ sudo resolvectl flush-caches
现在运行:
$ nslookup fedoramagazine.org
你应该会看到你的计算机和配置的 DNS 服务器之间的 TLS 加密交换:
最新评论
推荐文章
作者最新文章
你可能感兴趣的文章
Copyright Disclaimer: The copyright of contents (including texts, images, videos and audios) posted above belong to the User who shared or the third-party website which the User shared from. If you found your copyright have been infringed, please send a DMCA takedown notice to [email protected]. For more detail of the source, please click on the button "Read Original Post" below. For other communications, please send to [email protected].
版权声明:以上内容为用户推荐收藏至CareerEngine平台,其内容(含文字、图片、视频、音频等)及知识版权均属用户或用户转发自的第三方网站,如涉嫌侵权,请通知[email protected]进行信息删除。如需查看信息来源,请点击“查看原文”。如需洽谈其它事宜,请联系[email protected]。
版权声明:以上内容为用户推荐收藏至CareerEngine平台,其内容(含文字、图片、视频、音频等)及知识版权均属用户或用户转发自的第三方网站,如涉嫌侵权,请通知[email protected]进行信息删除。如需查看信息来源,请点击“查看原文”。如需洽谈其它事宜,请联系[email protected]。