使用 DNS over TLS _DNS

文章插图

现代计算机用来在互联网种查找资源的域名系统（DNS）是在 35 年前设计的，没有考虑用户隐私。它会面临安全风险和攻击，例如 DNS 劫持。它还能让 ISP 拦截查询。

• 来源：linux.cn • 作者：Thomas Bianchi • 译者：geekpi •
（本文字数：3512 ，阅读时长大约：4 分钟）
现代计算机用来在互联网种查找资源的域名系统（DNS）是在 35 年前设计的，没有考虑用户隐私。它会面临安全风险和攻击，例如 DNS 劫持。它还能让 ISP 拦截查询。
幸运的是，现在有 DNS over TLS 和 DNSSEC 两种技术。DNS over TLS 和 DNSSEC 允许创建从计算机到它配置的 DNS 服务器之间的安全且加密的端到端隧道。在 Fedora 上，部署这些技术的步骤很容易，并且所有必要的工具也很容易获得。
本指南将演示如何使用 systemd-resolved 在 Fedora 上配置 DNS over TLS 。有关 systemd-resolved 服务的更多信息，请参见文档。
步骤 1：设置 systemd-resolved类似于下面所示修改 /etc/systemd/resolved.conf 。确保启用 DNS over TLS 并配置要使用的 DNS 服务器的 IP 地址。

$ cat /etc/systemd/resolved.conf[Resolve]DNS=1.1.1.1 9.9.9.9DNSOverTLS=yesDNSSEC=yesFallbackDNS=8.8.8.8 1.0.0.1 8.8.4.4#Domains=~.#LLMNR=yes#MulticastDNS=yes#Cache=yes#DNSStubListener=yes#ReadEtcHosts=yes

关于选项的简要说明：

DNS：以空格分隔的 IPv4 和 IPv6 地址列表，用作系统 DNS 服务器。
FallbackDNS：以空格分隔的 IPv4 和 IPv6 地址列表，用作后备 DNS 服务器。
Domains：在解析单标签主机名时，这些域名用于搜索后缀。~. 代表对于所有域名，优先使用 DNS= 定义的系统 DNS 服务器。
DNSOverTLS：如果启用，那么将加密与服务器的所有连接。请注意，此模式要求 DNS 服务器支持 DNS-over-TLS ，并具有其 IP 的有效证书。

注意：上面示例中列出的 DNS 服务器是我个人的选择。你要确定要使用的 DNS 服务器。要注意你要向谁请求 IP 。

步骤 2：告诉 NetworkManager 将信息推给 systemd-resolved在 /etc/NetworkManager/conf.d 中创建一个名为 10-dns-systemd-resolved.conf 的文件。
$ cat /etc/NetworkManager/conf.d/10-dns-systemd-resolved.conf[main]dns=systemd-resolved上面的设置（dns=systemd-resolved）让 NetworkManager 将从 DHCP 获得的 DNS 信息推送到 systemd-resolved 服务。这将覆盖