温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

如何使用DNS over TLS

发布时间:2021-10-23 13:56:25 来源:亿速云 阅读:868 作者:小新 栏目:系统运维

这篇文章主要为大家展示了“如何使用DNS over TLS”,内容简而易懂,条理清晰,希望能够帮助大家解决疑惑,下面让小编带领大家一起研究并学习一下“如何使用DNS over TLS”这篇文章吧。

步骤 1:设置 systemd-resolved

类似于下面所示修改 /etc/systemd/resolved.conf。确保启用 DNS over TLS 并配置要使用的 DNS 服务器的 IP 地址。

$ cat /etc/systemd/resolved.conf[Resolve]DNS=1.1.1.1 9.9.9.9DNSOverTLS=yesDNSSEC=yesFallbackDNS=8.8.8.8 1.0.0.1 8.8.4.4#Domains=~.#LLMNR=yes#MulticastDNS=yes#Cache=yes#DNSStubListener=yes#ReadEtcHosts=yes

关于选项的简要说明:

  • DNS:以空格分隔的 IPv4 和 IPv6 地址列表,用作系统 DNS 服务器。

  • FallbackDNS:以空格分隔的 IPv4 和 IPv6 地址列表,用作后备 DNS 服务器。

  • Domains:在解析单标签主机名时,这些域名用于搜索后缀。 ~. 代表对于所有域名,优先使用 DNS= 定义的系统 DNS 服务器。

  • DNSOverTLS:如果启用,那么将加密与服务器的所有连接。请注意,此模式要求 DNS 服务器支持 DNS-over-TLS,并具有其 IP 的有效证书。

注意:上面示例中列出的 DNS 服务器是我个人的选择。你要确定要使用的 DNS 服务器。要注意你要向谁请求 IP。

步骤 2:告诉 NetworkManager 将信息推给 systemd-resolved

在 /etc/NetworkManager/conf.d 中创建一个名为 10-dns-systemd-resolved.conf 的文件。

$ cat /etc/NetworkManager/conf.d/10-dns-systemd-resolved.conf[main]dns=systemd-resolved

上面的设置(dns=systemd-resolved)让 NetworkManager 将从 DHCP 获得的 DNS 信息推送到 systemd-resolved 服务。这将覆盖步骤 1 中配置的 DNS 设置。这在受信任的网络中没问题,但是也可以设置为 dns=none 从而使用 /etc/systemd/resolved.conf 中配置的 DNS 服务器。

步骤 3: 启动和重启服务

若要使上述步骤中的配置生效,请启动并启用 systemd-resolved 服务。然后重启 NetworkManager 服务。

注意:在 NetworkManager 重启时,连接会中断几秒钟。

$ sudo systemctl start systemd-resolved$ sudo systemctl enable systemd-resolved$ sudo systemctl restart NetworkManager

注意:目前,systemd-resolved 服务默认处于禁用状态,是可选使用的。[有计划][33]在 Fedora 33 中默认启用systemd-resolved。

步骤 4:检查是否一切正常

现在,你应该在使用 DNS over TLS。检查 DNS 解析状态来确认这一点:

$ resolvectl statusMulticastDNS setting: yes  DNSOverTLS setting: yes      DNSSEC setting: yes    DNSSEC supported: yes  Current DNS Server: 1.1.1.1         DNS Servers: 1.1.1.1                      9.9.9.9Fallback DNS Servers: 8.8.8.8                      1.0.0.1                      8.8.4.4

/etc/resolv.conf 应该指向 127.0.0.53

$ cat /etc/resolv.conf# Generated by NetworkManagersearch lannameserver 127.0.0.53

若要查看 systemd-resolved 发送和接收安全查询的地址和端口,请运行:

$ sudo ss -lntp | grep '\(State\|:53 \)'State     Recv-Q    Send-Q       Local Address:Port        Peer Address:Port    ProcessLISTEN    0         4096         127.0.0.53%lo:53               0.0.0.0:*        users:(("systemd-resolve",pid=10410,fd=18))

若要进行安全查询,请运行:

$ resolvectl query fedoraproject.orgfedoraproject.org: 8.43.85.67                  -- link: wlp58s0                   8.43.85.73                  -- link: wlp58s0 [..] -- Information acquired via protocol DNS in 36.3ms.-- Data is authenticated: yes

额外步骤 5:使用 Wireshark 验证配置

首先,安装并运行 Wireshark:

$ sudo dnf install wireshark$ sudo wireshark

它会询问你在哪个设备上捕获数据包。在我这里,因为我使用无线接口,我用的是 wlp58s0。在 Wireshark 中设置筛选器,tcp.port == 853(853 是 DNS over TLS 协议端口)。在捕获 DNS 查询之前,你需要刷新本地 DNS 缓存:

$ sudo resolvectl flush-caches

现在运行:

$ nslookup fedoramagazine.org

你应该会看到你的计算机和配置的 DNS 服务器之间的 TLS 加密交换:

如何使用DNS over TLS


以上是“如何使用DNS over TLS”这篇文章的所有内容,感谢各位的阅读!相信大家都有了一定的了解,希望分享的内容对大家有所帮助,如果还想学习更多知识,欢迎关注亿速云行业资讯频道!

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

dns
AI