如何在Fedora上通过TLS配置域名系统 如何使用systemd

你应该会看到你的计算机和配置的 DNS 服务器之间的 TLS 加密交换：

$ nslookup fedoramagazine.org

$ sudo resolvectl flush-caches现在运行：

它会询问你在哪个设备上捕获数据包。在我这里，因为我使用无线接口，我用的是 wlp58s0。在 Wireshark 中设置筛选器，tcp.port == 853（853 是 DNS over TLS 协议端口）。在捕获 DNS 查询之前，你需要刷新本地 DNS 缓存：

$ sudo dnf install wireshark$ sudo wireshark

首先，安装并运行 Wireshark：

$ resolvectl query fedoraproject.orgfedoraproject.org: 8.43.85.67 -- link: wlp58s08.43.85.73 -- link: wlp58s0 [..] -- Information acquired via protocol DNS in 36.3ms.-- Data is authenticated: yes

若要进行安全查询，请运行：

$ sudo ss -lntp | grep '\(State\|:53 \)'State Recv-Q Send-Q Local Address:Port Peer Address:Port ProcessLISTEN 0 4096 127.0.0.53%lo:53 0.0.0.0:* users:(("systemd-resolve",pid=10410,fd=18))

若要查看 systemd-resolved 发送和接收安全查询的地址和端口，请运行：

$ cat /etc/resolv.conf# Generated by NetworkManagersearch lannameserver 127.0.0.53

/etc/resolv.conf 应该指向 127.0.0.53。

$ resolvectl statusMulticastDNS setting: yesDNSOverTLS setting: yesDNSSEC setting: yesDNSSEC supported: yesCurrent DNS Server: 1.1.1.1DNS Servers: 1.1.1.19.9.9.9Fallback DNS Servers: 8.8.8.81.0.0.18.8.4.4

现在，你应该在使用 DNS over TLS。检查 DNS 解析状态来确认这一点：

注意：目前，systemd-resolved 服务默认处于禁用状态，是可选使用的。[有计划][33]在 Fedora 33 中默认启用systemd-resolved。

$ sudo systemctl start systemd-resolved$ sudo systemctl enable systemd-resolved$ sudo systemctl restart NetworkManager

注意：在 NetworkManager 重启时，连接会中断几秒钟。

若要使上述步骤中的配置生效，请启动并启用 systemd-resolved 服务。然后重启 NetworkManager 服务。

上面的设置（dns=systemd-resolved）让 NetworkManager 将从 DHCP 获得的 DNS 信息推送到 systemd-resolved 服务。这将覆盖步骤 1 中配置的 DNS 设置。这在受信任的网络中没问题，但是也可以设置为 dns=none 从而使用 /etc/systemd/resolved.conf 中配置的 DNS 服务器。

$ cat /etc/NetworkManager/conf.d/10-dns-systemd-resolved.conf[main]dns=systemd-resolved

在 /etc/NetworkManager/conf.d 中创建一个名为 10-dns-systemd-resolved.conf 的文件。

注意：上面示例中列出的 DNS 服务器是我个人的选择。你要确定要使用的 DNS 服务器。要注意你要向谁请求 IP。

关于选项的简要说明：

$ cat /etc/systemd/resolved.conf[Resolve]DNS=1.1.1.1 9.9.9.9DNSOverTLS=yesDNSSEC=yesFallbackDNS=8.8.8.8 1.0.0.1 8.8.4.4#Domains=~.#LLMNR=yes#MulticastDNS=yes#Cache=yes#DNSStubListener=yes#ReadEtcHosts=yes

类似于下面所示修改 /etc/systemd/resolved.conf。确保启用 DNS over TLS 并配置要使用的 DNS 服务器的 IP 地址。

本指南将演示如何使用 systemd-resolved 在 Fedora 上配置 DNS over TLS。有关 systemd-resolved 服务的更多信息，请参见文档。

幸运的是，现在有 DNS over TLS 和 DNSSEC 两种技术。DNS over TLS 和 DNSSEC 允许创建从计算机到它配置的 DNS 服务器之间的安全且加密的端到端隧道。在 Fedora 上，部署这些技术的步骤很容易，并且所有必要的工具也很容易获得。